- Tema
392 Popularidad
31k Popularidad
5k Popularidad
35k Popularidad
19k Popularidad
23k Popularidad
11k Popularidad
2k Popularidad
7k Popularidad
12k Popularidad
- Anclado
392 Popularidad
31k Popularidad
5k Popularidad
35k Popularidad
19k Popularidad
23k Popularidad
11k Popularidad
2k Popularidad
7k Popularidad
12k Popularidad
Jack Dorsey dice que su nueva aplicación Bitchat ‘segura’ no ha sido probada para la seguridad
Jack Dorsey, cofundador y director ejecutivo de Twitter Inc. y Square Inc., escucha durante la conferencia Bitcoin 2021 en Miami, Florida, EE. UU., el viernes 4 de junio de 2021. (Imagen: Eva Marie Uzcategui/Bloomberg/Getty Images) | Créditos de Imagen: Eva Marie Uzcategui/Bloomberg / Getty Images El domingo, el CEO de Bloquear y cofundador de Twitter, Jack Dorsey, lanzó una aplicación de chat de código abierto llamada Bitchat, prometiendo ofrecer mensajería “segura” y “privada” sin una infraestructura centralizada.
La aplicación se basa en Bluetooth y cifrado de extremo a extremo, a diferencia de las aplicaciones de mensajería tradicionales que dependen de internet. Al ser descentralizada, Bitchat tiene el potencial de ser una aplicación segura en entornos de alto riesgo donde internet es monitoreado o inaccesible. Según el documento técnico de Dorsey que detalla los protocolos y mecanismos de privacidad de la aplicación, el diseño del sistema de Bitchat "prioriza" la seguridad.
Sin embargo, las afirmaciones de que la aplicación es segura ya están siendo objeto de escrutinio por parte de investigadores de seguridad, dado que la aplicación y su código no han sido revisados ni probados en busca de problemas de seguridad en absoluto, según la propia admisión de Dorsey.
Desde su lanzamiento, Dorsey ha añadido una advertencia a la página de GitHub de Bitchat: “Este software no ha recibido una revisión de seguridad externa y puede contener vulnerabilidades y no necesariamente cumple con sus objetivos de seguridad declarados. No lo utilice para uso en producción, y no confíe en su seguridad en absoluto hasta que haya sido revisado.”
Esta advertencia ahora también aparece en la página principal del proyecto de GitHub de Bitchat, pero no estaba allí en el momento en que la aplicación debutó.
A partir del miércoles, Dorsey añadió: “Trabajo en progreso,” al lado de la advertencia en GitHub.
Este último descargo de responsabilidad llegó después de que el investigador de seguridad Alex Rodocea descubriera que es posible hacerse pasar por otra persona y engañar a los contactos de una persona para que piensen que están hablando con el contacto legítimo, como explicó el investigador en una publicación de blog.
Rodocea escribió que Bitchat tiene un sistema de “autenticación/verificación de identidad roto” que permite a un atacante interceptar la “clave de identidad” y el “par de id de pares” de alguien, esencialmente un apretón de manos digital que se supone establece una conexión de confianza entre dos personas que utilizan la aplicación. Bitchat llama a estos contactos “Favoritos” y los marca con un ícono de estrella. El objetivo de esta función es permitir que dos usuarios de Bitchat interactúen, sabiendo que están hablando con la misma persona con la que hablaron antes.
Dorsey no respondió a la solicitud de comentario de TechCrunch enviada a su dirección de correo electrónico de Block.
Una captura de pantalla que muestra un ejemplo de un chat donde un atacante ha suplantado a “Bob” en un chat con “Alice,” lo que Bitchat hizo parecer como si realmente viniera de Bob. (Imagen: Alex Rodocea) El lunes, Radocea presentó un ticket en el proyecto de GitHub para preguntar cómo reportar la falla de seguridad que descubrió en el sistema de Favoritos de Bitchat. Poco después, Dorsey lo marcó como “completado,” sin comentarios. (Dorsey reabrió el ticket el miércoles, diciendo que los problemas de seguridad pueden ser reportados publicando directamente en GitHub.)
Otra persona informó sobre preocupaciones con las afirmaciones de Dorsey de que Bitchat tiene "secreto hacia adelante", una técnica criptográfica que garantiza que incluso si un atacante roba o compromete una clave de cifrado, ese atacante aún no puede descifrar los mensajes enviados previamente.
La historia continúa. Alguien también señaló un posible error de desbordamiento de búfer, que es un tipo común de vulnerabilidad de seguridad donde un hacker puede forzar la memoria de un dispositivo a desbordarse a otras ubicaciones, abriendo la puerta a un compromiso de datos.
Radocea advirtió que los usuarios de Bitchat no deberían confiar aún en la aplicación.
“La seguridad es una gran característica para hacerse viral. Pero una verificación básica de cordura, como, ¿realmente las claves de identidad hacen alguna criptografía?, sería algo muy obvio de probar al construir algo así”, dijo Radocea a TechCrunch. “Hay personas que tomarían el mensaje sobre la seguridad literalmente y podrían confiar en él para su seguridad, por lo que el proyecto en su estado actual podría ponerlas en peligro.”
Refiriéndose a sus hallazgos y a los de otras personas, Radocea criticó la advertencia de Dorsey de que Bitchat no ha sido probado por seguridad.
“Yo diría que ha recibido una revisión de seguridad externa, y no se ve bien,” dijo.
Ver Comentarios