Jack Dorsey, cofundador e diretor executivo da Twitter Inc. e Square Inc., ouve durante a conferência Bitcoin 2021 em Miami, Flórida, EUA, na sexta-feira, 4 de junho de 2021. (Imagem: Eva Marie Uzcategui/Bloomberg/Getty Images) | Créditos da Imagem: Eva Marie Uzcategui/Bloomberg / Getty Images No domingo, o CEO do Bloco e cofundador do Twitter, Jack Dorsey, lançou um aplicativo de chat de código aberto chamado Bitchat, prometendo oferecer mensagens "seguras" e "privadas" sem uma infraestrutura centralizada.
O aplicativo depende de Bluetooth e criptografia de ponta a ponta, ao contrário dos aplicativos de mensagens tradicionais que dependem da internet. Ao ser descentralizado, o Bitchat tem potencial para ser um aplicativo seguro em ambientes de alto risco onde a internet é monitorada ou inacessível. De acordo com o white paper de Dorsey detalhando os protocolos e mecanismos de privacidade do aplicativo, o design do sistema do Bitchat "prioriza" a segurança.
Mas as alegações de que o aplicativo é seguro, no entanto, já estão a ser escrutinadas por investigadores de segurança, dado que o aplicativo e o seu código não foram revistos nem testados quanto a problemas de segurança — segundo a própria admissão de Dorsey.
Desde o lançamento, Dorsey adicionou um aviso à página do GitHub do Bitchat: “Este software não recebeu uma revisão de segurança externa e pode conter vulnerabilidades e não atende necessariamente aos seus objetivos de segurança declarados. Não o utilize em produção, e não confie na sua segurança de forma alguma até que tenha sido revisado.”
Este aviso agora também aparece na página principal do projeto GitHub do Bitchat, mas não estava lá na época em que o aplicativo foi lançado.
Na quarta-feira, Dorsey acrescentou: “Trabalho em andamento,” ao lado do aviso no GitHub.
Este último aviso surgiu após o investigador de segurança Alex Rodocea ter descoberto que é possível impersonar outra pessoa e enganar os contactos de uma pessoa para pensarem que estão a falar com o contacto legítimo, como o investigador explicou em um post no blog.
Rodocea escreveu que o Bitchat tem um sistema de "autenticação/verificação de identidade" "quebrado" que permite a um atacante interceptar a "chave de identidade" e o "par de id de pares" de alguém — essencialmente um aperto de mão digital que deveria estabelecer uma conexão de confiança entre duas pessoas que usam o aplicativo. O Bitchat chama esses contatos de "Favoritos" e os marca com um ícone de estrela. O objetivo deste recurso é permitir que dois usuários do Bitchat interajam, sabendo que estão falando com a mesma pessoa com quem falaram antes.
Dorsey não respondeu ao pedido de comentário da TechCrunch enviado para o seu endereço de e-mail da Block.
Uma captura de ecrã mostrando um exemplo de um chat onde um atacante se fez passar por "Bob" em um chat com "Alice", que a Bitchat fez parecer que realmente estava a vir de Bob. (Imagem: Alex Rodocea) Na segunda-feira, Radocea abriu um ticket no projeto GitHub para perguntar como reportar a falha de segurança que descobriu no sistema de Favoritos da Bitchat. Pouco depois, Dorsey marcou como "completo", sem comentários. (Dorsey reabriu o ticket na quarta-feira, dizendo que questões de segurança podem ser reportadas publicando diretamente no GitHub.)
Outra pessoa relatou preocupações com as alegações de Dorsey de que o Bitchat tem "segredo em avanço", uma técnica criptográfica que garante que, mesmo que um atacante roube ou comprometa uma chave de criptografia, esse atacante ainda não pode descriptografar mensagens enviadas anteriormente.
A história continua. Alguém também apontou um potencial bug de estouro de buffer, que é um tipo comum de vulnerabilidade de segurança onde um hacker pode forçar a memória de um dispositivo a transbordar para outros locais, abrindo a porta para um comprometimento de dados.
Radocea avisou que os utilizadores do Bitchat não devem confiar ainda na aplicação.
“A segurança é uma grande característica para se tornar viral. Mas uma verificação básica de sanidade, como, as chaves de identidade realmente fazem alguma criptografia, seria uma coisa muito óbvia a testar ao construir algo assim,” disse Radocea ao TechCrunch. “Existem pessoas por aí que levariam a comunicação em torno da segurança literalmente e poderiam confiar nela para a sua segurança, então o projeto no seu estado atual poderia colocá-las em perigo.”
Referindo-se às suas descobertas e às de outras pessoas, Radocea criticou o aviso de Dorsey de que o Bitchat não foi testado em termos de segurança.
“Eu argumentaria que recebeu uma revisão de segurança externa, e não está a correr bem,” disse ele.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Jack Dorsey diz que a sua nova aplicação Bitchat 'segura' não foi testada em termos de segurança
Jack Dorsey, cofundador e diretor executivo da Twitter Inc. e Square Inc., ouve durante a conferência Bitcoin 2021 em Miami, Flórida, EUA, na sexta-feira, 4 de junho de 2021. (Imagem: Eva Marie Uzcategui/Bloomberg/Getty Images) | Créditos da Imagem: Eva Marie Uzcategui/Bloomberg / Getty Images No domingo, o CEO do Bloco e cofundador do Twitter, Jack Dorsey, lançou um aplicativo de chat de código aberto chamado Bitchat, prometendo oferecer mensagens "seguras" e "privadas" sem uma infraestrutura centralizada.
O aplicativo depende de Bluetooth e criptografia de ponta a ponta, ao contrário dos aplicativos de mensagens tradicionais que dependem da internet. Ao ser descentralizado, o Bitchat tem potencial para ser um aplicativo seguro em ambientes de alto risco onde a internet é monitorada ou inacessível. De acordo com o white paper de Dorsey detalhando os protocolos e mecanismos de privacidade do aplicativo, o design do sistema do Bitchat "prioriza" a segurança.
Mas as alegações de que o aplicativo é seguro, no entanto, já estão a ser escrutinadas por investigadores de segurança, dado que o aplicativo e o seu código não foram revistos nem testados quanto a problemas de segurança — segundo a própria admissão de Dorsey.
Desde o lançamento, Dorsey adicionou um aviso à página do GitHub do Bitchat: “Este software não recebeu uma revisão de segurança externa e pode conter vulnerabilidades e não atende necessariamente aos seus objetivos de segurança declarados. Não o utilize em produção, e não confie na sua segurança de forma alguma até que tenha sido revisado.”
Este aviso agora também aparece na página principal do projeto GitHub do Bitchat, mas não estava lá na época em que o aplicativo foi lançado.
Na quarta-feira, Dorsey acrescentou: “Trabalho em andamento,” ao lado do aviso no GitHub.
Este último aviso surgiu após o investigador de segurança Alex Rodocea ter descoberto que é possível impersonar outra pessoa e enganar os contactos de uma pessoa para pensarem que estão a falar com o contacto legítimo, como o investigador explicou em um post no blog.
Rodocea escreveu que o Bitchat tem um sistema de "autenticação/verificação de identidade" "quebrado" que permite a um atacante interceptar a "chave de identidade" e o "par de id de pares" de alguém — essencialmente um aperto de mão digital que deveria estabelecer uma conexão de confiança entre duas pessoas que usam o aplicativo. O Bitchat chama esses contatos de "Favoritos" e os marca com um ícone de estrela. O objetivo deste recurso é permitir que dois usuários do Bitchat interajam, sabendo que estão falando com a mesma pessoa com quem falaram antes.
Dorsey não respondeu ao pedido de comentário da TechCrunch enviado para o seu endereço de e-mail da Block.
Uma captura de ecrã mostrando um exemplo de um chat onde um atacante se fez passar por "Bob" em um chat com "Alice", que a Bitchat fez parecer que realmente estava a vir de Bob. (Imagem: Alex Rodocea) Na segunda-feira, Radocea abriu um ticket no projeto GitHub para perguntar como reportar a falha de segurança que descobriu no sistema de Favoritos da Bitchat. Pouco depois, Dorsey marcou como "completo", sem comentários. (Dorsey reabriu o ticket na quarta-feira, dizendo que questões de segurança podem ser reportadas publicando diretamente no GitHub.)
Outra pessoa relatou preocupações com as alegações de Dorsey de que o Bitchat tem "segredo em avanço", uma técnica criptográfica que garante que, mesmo que um atacante roube ou comprometa uma chave de criptografia, esse atacante ainda não pode descriptografar mensagens enviadas anteriormente.
A história continua. Alguém também apontou um potencial bug de estouro de buffer, que é um tipo comum de vulnerabilidade de segurança onde um hacker pode forçar a memória de um dispositivo a transbordar para outros locais, abrindo a porta para um comprometimento de dados.
Radocea avisou que os utilizadores do Bitchat não devem confiar ainda na aplicação.
“A segurança é uma grande característica para se tornar viral. Mas uma verificação básica de sanidade, como, as chaves de identidade realmente fazem alguma criptografia, seria uma coisa muito óbvia a testar ao construir algo assim,” disse Radocea ao TechCrunch. “Existem pessoas por aí que levariam a comunicação em torno da segurança literalmente e poderiam confiar nela para a sua segurança, então o projeto no seu estado atual poderia colocá-las em perigo.”
Referindo-se às suas descobertas e às de outras pessoas, Radocea criticou o aviso de Dorsey de que o Bitchat não foi testado em termos de segurança.
“Eu argumentaria que recebeu uma revisão de segurança externa, e não está a correr bem,” disse ele.
Ver Comentários