يقول جاك دورسي إن تطبيق Bitchat الجديد "الآمن" لم يتم اختباره من أجل الأمان

جاك دورسي، المؤسس المشارك والرئيس التنفيذي لشركة تويتر وشركة سكوير، يستمع خلال مؤتمر بيتكوين 2021 في ميامي، فلوريدا، الولايات المتحدة، يوم الجمعة، 4 يونيو 2021. (الصورة: إيفا ماري أوزكاتيغي/بلومبرغ/صور غيتي) | حقوق الصورة: إيفا ماري أوزكاتيغي/بلومبرغ / صور غيتي يوم الأحد، أطلق الرئيس التنفيذي لكتلة والمؤسس المشارك لتويتر جاك دورسي تطبيق دردشة مفتوح المصدر يسمى بيتشات، واعدًا بتقديم رسائل "آمنة" و"خاصة" دون بنية تحتية مركزية.

يعتمد التطبيق على البلوتوث والتشفير من طرف إلى طرف، على عكس تطبيقات المراسلة التقليدية التي تعتمد على الإنترنت. من خلال كونه لامركزياً، يمتلك Bitchat إمكانية أن يكون تطبيقاً آمناً في بيئات عالية المخاطر حيث يتم مراقبة الإنترنت أو يصعب الوصول إليه. وفقاً للورقة البيضاء لدورسي التي توضح بروتوكولات التطبيق وآليات الخصوصية، فإن تصميم نظام Bitchat "يعطي الأولوية" للأمان.

لكن الادعاءات بأن التطبيق آمن تواجه بالفعل تدقيقًا من قبل باحثي الأمن، نظرًا لأن التطبيق ورمزه لم يتم مراجعته أو اختباره لأي مشكلات أمنية على الإطلاق - بحسب اعتراف دورسي نفسه.

منذ الإطلاق، أضاف دورسي تحذيرًا إلى صفحة GitHub الخاصة بـ Bitchat: "لم تتلقَ هذه البرمجيات مراجعة أمان خارجية وقد تحتوي على ثغرات ولا تفي بالضرورة بأهداف الأمان المعلنة. لا تستخدمها للاستخدام الإنتاجي، ولا تعتمد على أمانها بأي شكل حتى تتم مراجعتها."

هذه التحذير يظهر الآن أيضًا على الصفحة الرئيسية لمشروع Bitchat على GitHub، لكنه لم يكن موجودًا في الوقت الذي تم فيه إطلاق التطبيق.

اعتبارًا من يوم الأربعاء، أضاف دورسي: "عمل جارٍ"، بجانب التحذير على GitHub.

وجاء هذا التنبيه الأخير بعد أن اكتشف الباحث الأمني أليكس رودوcea أنه من الممكن انتحال شخصية شخص آخر وخداع جهات اتصال الشخص ليعتقدوا أنهم يتحدثون إلى جهة الاتصال الشرعية، كما أوضح الباحث في منشور مدونة.

كتب رودوسيا أن بيتشات لديها نظام "تحقق/مصادقة هوية مكسور" يسمح لمهاجم باعتراض "مفتاح الهوية" و"زوج معرف المستخدم" لشخص ما - وهي في الأساس مصافحة رقمية من المفترض أن تؤسس اتصالاً موثوقاً بين شخصين يستخدمان التطبيق. تسمي بيتشات هؤلاء "المفضلين" وتضع لهم أيقونة نجمة. الهدف من هذه الميزة هو السماح لمستخدمين من بيتشات بالتفاعل، مع العلم أنهما يتحدثان إلى نفس الشخص الذي تحدثا إليه من قبل.

لم يرد دورسي على طلب التعليق الذي وجهته TechCrunch إلى عنوان بريده الإلكتروني في Block.

لقطة شاشة تظهر مثالاً لمحادثة حيث قام مهاجم بانتحال شخصية "بوب" في محادثة مع "أليس"، مما جعل Bitchat يبدو وكأنها قادمة حقًا من بوب. ( الصورة: أليكس رودوسيا ) يوم الاثنين، قدم رودوسيا تذكرة في مشروع GitHub ليسأل عن كيفية الإبلاغ عن الثغرة الأمنية التي اكتشفها في نظام المفضلات في Bitchat. بعد فترة وجيزة، قام دورسي بتمييزها على أنها "مكتملة"، دون تعليق. ( أعاد دورسي فتح التذكرة يوم الأربعاء، قائلاً إن القضايا الأمنية يمكن الإبلاغ عنها عن طريق النشر مباشرة على GitHub. )

شخص آخر أبلغ عن مخاوف بشأن ادعاءات دورسي بأن Bitchat يمتلك "سرية مسبقة"، وهي تقنية تشفير تضمن أنه حتى إذا قام مهاجم بسرقة أو اختراق مفتاح التشفير، فلا يزال بإمكان ذلك المهاجم عدم فك تشفير الرسائل المرسلة سابقًا.

تستمر القصة. أشار شخص ما أيضًا إلى وجود خطأ محتمل في تجاوز السعة، وهو نوع شائع من الثغرات الأمنية حيث يمكن للقراصنة إجبار ذاكرة الجهاز على الانسكاب إلى مواقع أخرى، مما يفتح الباب لخرق البيانات.

حذرت رادوسيا من أنه لا ينبغي لمستخدمي بيتشات الثقة في التطبيق بعد.

"الأمان ميزة رائعة يجب أن تتوفر للانتشار السريع. لكن فحص الصحة الأساسية، مثل، هل تقوم مفاتيح الهوية فعلاً بأي تشفير، سيكون شيئًا واضحًا جدًا للاختبار عند بناء شيء مثل هذا،" قال رادوسيا لـ TechCrunch. "هناك أشخاص هناك سيأخذون الرسائل حول الأمان حرفيًا وقد يعتمدون عليها لسلامتهم، لذا فإن المشروع في حالته الحالية قد يعرضهم للخطر."

بالإشارة إلى نتائج رادوcea ونتائج الآخرين، انتقد رادوcea تحذير دورسي بأن Bitchat لم يتم اختباره من حيث الأمان.

"أود أن أقول إنه قد حصل على مراجعة أمنية خارجية، وليس الأمر جيدًا"، قال.

عرض التعليقات

شاهد النسخة الأصلية
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • أعجبني
  • تعليق
  • مشاركة
تعليق
0/400
لا توجد تعليقات
  • تثبيت