This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
ジャック・ドーシーは彼の「安全な」新しいBitchatアプリがセキュリティのテストを受けていないと述べています。
ジャック・ドーシー、Twitter Inc.とSquare Inc.の共同創設者兼最高経営責任者は、2021年6月4日金曜日に米国フロリダ州マイアミで開催されたビットコイン2021カンファレンスで話を聞いています。 (画像: エヴァ・マリー・ウズカテギ/Bloomberg/Getty Images) | 画像クレジット: エヴァ・マリー・ウズカテギ/Bloomberg / Getty Images 日曜日に、ブロックのCEOでありTwitterの共同創設者であるジャック・ドーシーは、Bitchatというオープンソースのチャットアプリを発表し、「安全」で「プライベート」なメッセージングを中央集権的なインフラなしで提供すると約束しました。
このアプリはBluetoothとエンドツーエンド暗号化に依存しており、インターネットに依存する従来のメッセージングアプリとは異なります。分散型であるため、Bitchatはインターネットが監視されているかアクセスできない高リスク環境で安全なアプリである可能性があります。Dorseyのホワイトペーパーによれば、アプリのプロトコルとプライバシー機構を詳述しており、Bitchatのシステム設計は「セキュリティを優先する」とされています。
しかし、アプリが安全だという主張は、セキュリティ研究者によってすでに精査されています。なぜなら、アプリとそのコードは、Dorsey自身の認めるところによれば、セキュリティ上の問題について全くレビューやテストが行われていないからです。
ローンチ以来、ドーシーはBitchatのGitHubページに警告を追加しました:「このソフトウェアは外部のセキュリティレビューを受けておらず、脆弱性を含む可能性があり、必ずしもその記載されたセキュリティ目標を満たしているわけではありません。商業利用のために使用しないでください。また、レビューされるまでそのセキュリティを一切信頼しないでください。」
この警告は現在、Bitchatの主要なGitHubプロジェクトページにも表示されていますが、アプリがデビューした時にはそこにはありませんでした。
水曜日の時点で、ドーシーはGitHubの警告の横に「進行中の作業」と追加しました。
この最新の免責事項は、セキュリティ研究者アレックス・ロドセアが、他の誰かになりすまし、連絡先に対して正当な連絡先と話していると思わせることが可能であることを発見した後に発表されましたと、研究者はブログ投稿で説明しました。
Rodoceaは、Bitchatが「壊れたアイデンティティ認証/検証」システムを持っており、攻撃者が誰かの「アイデンティティキー」と「ピアIDペア」を傍受できることを示しました。これは本質的に、アプリを使用する2人の間で信頼できる接続を確立するためのデジタルハンドシェイクです。Bitchatはこれらを「お気に入り」連絡先と呼び、星のアイコンでマークしています。この機能の目的は、2人のBitchatユーザーが以前に話したのと同じ人物と話していることを知りながら相互作用できるようにすることです。
ドーシーは、TechCrunchが彼のブロックのメールアドレスに送ったコメントのリクエストには応じなかった。
攻撃者が「アリス」とのチャットで「ボブ」を装っている例を示すスクリーンショットで、Bitchatはそれが本当にボブからのものであるかのように見せかけました。 (画像: アレックス・ロドチェア) 月曜日、ロドチェアはGitHubプロジェクトにチケットを提出し、Bitchatお気に入りシステムで発見したセキュリティの欠陥を報告する方法を尋ねました。その後すぐに、ドーシーはコメントなしで「完了」とマークしました。 (ドーシーは水曜日にチケットを再オープンし、セキュリティ問題はGitHubに直接投稿することで報告できると述べました。)
別の人が、ドーシーの主張に対する懸念を報告しました。ビッチャットには「フォワードシークレット」があるというもので、これは攻撃者が暗号鍵を盗んだり侵害した場合でも、以前に送信されたメッセージを解読できないことを保証する暗号技術です。
物語は続く誰かが、ハッカーがデバイスのメモリを他の場所に漏れさせることを強制できる一般的なタイプのセキュリティ脆弱性である潜在的なバッファオーバーフローのバグを指摘しました。これはデータの妥協を招く扉を開くことになります。
Radoceaは、Bitchatのユーザーはまだアプリを信頼すべきではないと警告しました。
「セキュリティは、バイラルになるために持っておくべき素晴らしい機能です。しかし、アイデンティティキーが実際に何か暗号化を行っているのかといった基本的な健全性チェックは、このようなものを構築する際にテストすべき非常に明白なことです」とラドチェアはTechCrunchに語った。「セキュリティに関するメッセージを文字通り受け取る人々がいて、その安全のためにそれに依存する可能性があるため、現在の状態のプロジェクトは彼らを危険にさらす可能性があります。」
ラドチェアは、彼自身と他の人々の発見を参照し、ドーシーがビットチャットがセキュリティのテストを受けていないと警告したことを批判しました。
「外部のセキュリティレビューを受けたと主張しますが、状況は良くないようです」と彼は言った。
コメントを見る