Jack Dorsey mengatakan bahwa aplikasi Bitchat barunya yang ‘aman’ belum diuji untuk keamanan

Jack Dorsey, co-founder dan CEO Twitter Inc. dan Square Inc., mendengarkan selama konferensi Bitcoin 2021 di Miami, Florida, AS, pada hari Jumat, 4 Juni 2021. (Gambar: Eva Marie Uzcategui/Bloomberg/Getty Images) | Kredit Gambar: Eva Marie Uzcategui/Bloomberg / Getty Images Pada hari Minggu, CEO Blok dan co-founder Twitter Jack Dorsey meluncurkan aplikasi obrolan sumber terbuka bernama Bitchat, yang menjanjikan pengiriman pesan yang "aman" dan "pribadi" tanpa infrastruktur terpusat.

Aplikasi ini mengandalkan Bluetooth dan enkripsi end-to-end, tidak seperti aplikasi pesan tradisional yang mengandalkan internet. Dengan bersifat desentralisasi, Bitchat memiliki potensi untuk menjadi aplikasi yang aman di lingkungan berisiko tinggi di mana internet dipantau atau tidak dapat diakses. Menurut makalah putih Dorsey yang merinci protokol dan mekanisme privasi aplikasi, desain sistem Bitchat "mengutamakan" keamanan.

Namun, klaim bahwa aplikasi ini aman sudah menghadapi sorotan dari peneliti keamanan, mengingat bahwa aplikasi dan kodenya sama sekali belum ditinjau atau diuji untuk masalah keamanan — menurut pengakuan Dorsey sendiri.

Sejak diluncurkan, Dorsey telah menambahkan peringatan di halaman GitHub Bitchat: "Perangkat lunak ini belum menerima tinjauan keamanan eksternal dan mungkin mengandung kerentanan serta tidak memenuhi tujuan keamanan yang dinyatakan. Jangan menggunakannya untuk penggunaan produksi, dan jangan bergantung pada keamanannya sama sekali sampai perangkat lunak ini ditinjau."

Peringatan ini sekarang juga muncul di halaman proyek utama GitHub Bitchat, tetapi tidak ada di sana pada saat aplikasi diluncurkan.

Pada hari Rabu, Dorsey menambahkan: “Sedang dalam proses,” di samping peringatan di GitHub.

Pernyataan penafian terbaru ini muncul setelah peneliti keamanan Alex Rodocea menemukan bahwa mungkin untuk menyamar sebagai orang lain dan menipu kontak seseorang agar berpikir bahwa mereka sedang berbicara dengan kontak yang sah, seperti yang dijelaskan peneliti dalam sebuah posting blog.

Rodocea menulis bahwa Bitchat memiliki sistem "autentikasi/verifikasi identitas yang rusak" yang memungkinkan seorang penyerang untuk mengintersepsi "kunci identitas" dan "pasangan id peer" seseorang — pada dasarnya adalah jabat tangan digital yang seharusnya menetapkan koneksi yang terpercaya antara dua orang yang menggunakan aplikasi. Bitchat menyebut kontak ini sebagai "Favorit" dan menandainya dengan ikon bintang. Tujuan fitur ini adalah untuk memungkinkan dua pengguna Bitchat berinteraksi, mengetahui bahwa mereka sedang berbicara dengan orang yang sama yang mereka ajak bicara sebelumnya.

Dorsey tidak menanggapi permintaan komentar TechCrunch yang dikirim ke alamat email Block-nya.

Sebuah tangkapan layar yang menunjukkan contoh obrolan di mana seorang penyerang telah menyamar sebagai “Bob” dalam obrolan dengan “Alice,” yang membuat Bitchat tampak seolah-olah itu benar-benar berasal dari Bob. (Gambar: Alex Rodocea) Pada hari Senin, Radocea mengajukan tiket di proyek GitHub untuk menanyakan bagaimana cara melaporkan celah keamanan yang dia temukan di sistem Favorit Bitchat. Tak lama setelah itu, Dorsey menandainya sebagai “selesai,” tanpa komentar. (Dorsey membuka kembali tiket tersebut pada hari Rabu, mengatakan bahwa masalah keamanan dapat dilaporkan dengan memposting di GitHub secara langsung.)

Orang lain melaporkan kekhawatiran terhadap klaim Dorsey bahwa Bitchat memiliki "kerahasiaan maju," teknik kriptografi yang memastikan bahwa bahkan jika penyerang mencuri atau mengkompromikan kunci enkripsi, penyerang tersebut masih tidak dapat mendekripsi pesan yang telah dikirim sebelumnya.

Cerita BerlanjutSeseorang juga menunjukkan adanya bug buffer overflow potensial, yang merupakan jenis kerentanan keamanan umum di mana seorang hacker dapat memaksa memori perangkat untuk meluap ke lokasi lain, membuka pintu untuk kompromi data.

Radocea memperingatkan bahwa pengguna Bitchat sebaiknya belum mempercayai aplikasi tersebut.

"Keamanan adalah fitur hebat yang dimiliki untuk menjadi viral. Tetapi pemeriksaan dasar, seperti, apakah kunci identitas benar-benar melakukan kriptografi, akan menjadi hal yang sangat jelas untuk diuji saat membangun sesuatu seperti ini," kata Radocea kepada TechCrunch. "Ada orang di luar sana yang akan menganggap serius pesan tentang keamanan dan dapat mengandalkannya untuk keselamatan mereka, jadi proyek dalam keadaan saat ini bisa membahayakan mereka."

Merujuk pada temuannya dan temuan orang lain, Radocea mengkritik peringatan Dorsey bahwa Bitchat belum diuji untuk keamanan.

"Saya berpendapat bahwa itu telah menerima tinjauan keamanan eksternal, dan itu tidak terlihat baik," katanya.

Lihat Komentar