Джек Дорси говорит, что его новое «безопасное» приложение Bitchat не было протестировано на безопасность

Джек Дорси, соучредитель и генеральный директор Twitter Inc. и Square Inc., слушает на конференции Bitcoin 2021 в Майами, Флорида, США, в пятницу, 4 июня 2021 года. (Изображение: Эва Мария Ускагетти/Блумберг/Getty Images) | Авторские права на изображение: Эва Мария Ускагетти/Блумберг / Getty Images В воскресенье генеральный директор Block и соучредитель Twitter Джек Дорси запустил приложение для чата с открытым исходным кодом под названием Bitchat, пообещав предоставить «безопасные» и «приватные» сообщения без централизованной инфраструктуры.

Приложение использует Bluetooth и сквозное шифрование, в отличие от традиционных мессенджеров, которые полагаются на интернет. Будучи децентрализованным, Bitchat имеет потенциал для того, чтобы стать безопасным приложением в условиях высокого риска, где интернет контролируется или недоступен. Согласно белой книге Дорси, в которой подробно описаны протоколы и механизмы конфиденциальности приложения, система Bitchat "приоритизирует" безопасность.

Однако заявления о том, что приложение безопасно, уже подвергаются критике со стороны исследователей безопасности, учитывая, что приложение и его код вовсе не были проверены или протестированы на наличие проблем с безопасностью — по собственному признанию Дорси.

С момента запуска Дорси добавил предупреждение на страницу GitHub Bitchat: "Это программное обеспечение не прошло внешнюю проверку безопасности и может содержать уязвимости, и не обязательно соответствует заявленным целям безопасности. Не используйте его для производственного использования и не полагайтесь на его безопасность до тех пор, пока оно не будет проверено."

Это предупреждение теперь также появляется на главной странице проекта Bitchat на GitHub, но его не было в то время, когда приложение дебютировало.

На среду Дорси добавил: "В процессе работы", рядом с предупреждением на GitHub.

Этот последний отказ от ответственности появился после того, как исследователь безопасности Алекс Родоцеа обнаружил, что возможно выдать себя за кого-то другого и обмануть контакты человека, заставив их думать, что они общаются с легитимным контактом, как объяснил исследователь в блоге.

Родоцеа написал, что Bitchat имеет «сломанную систему аутентификации/верификации личности», которая позволяет злоумышленнику перехватить «ключ идентификации» и «пару идентификаторов пира» — по сути, цифровое рукопожатие, которое должно устанавливать доверительное соединение между двумя людьми, использующими приложение. Bitchat называет этих «Избранными» контактами и отмечает их звездочкой. Цель этой функции — позволить двум пользователям Bitchat взаимодействовать, зная, что они общаются с тем же человеком, с которым общались ранее.

Дорси не ответил на запрос TechCrunch о комментарии, отправленный на его электронную почту Block.

Скриншот, показывающий пример чата, где злоумышленник выдает себя за "Боба" в чате с "Алисой", и Bitchat заставил это казаться, что действительно исходит от Боба. (Изображение: Алекс Радочеа) В понедельник Радочеа подал заявку на проект GitHub, чтобы спросить, как сообщить о найденном им уязвимости в системе избранного Bitchat. Вскоре после этого Дорси пометил её как "завершенную", без комментариев. (Дорси вновь открыл заявку в среду, сказав, что вопросы безопасности можно сообщать, публикуя на GitHub напрямую.)

Другой человек сообщил о беспокойстве по поводу заявлений Дорси о том, что Bitchat имеет "прямую секретность", криптографическую технику, которая гарантирует, что даже если злоумышленник украдет или скомпрометирует ключ шифрования, этот злоумышленник все равно не сможет расшифровать ранее отправленные сообщения.

История продолжается. Кто-то также указал на потенциальную ошибку переполнения буфера, которая является распространенным типом уязвимости безопасности, когда хакер может заставить память устройства выливаться в другие места, открывая дверь для компрометации данных.

Radocea предупредила, что пользователи Bitchat не должны пока доверять приложению.

"Безопасность — это отличная функция для того, чтобы стать вирусным. Но базовая проверка здравого смысла, такая как, действительно ли ключи идентичности выполняют какую-либо криптографию, была бы очень очевидной вещью для тестирования при создании чего-то подобного," — сказал Радоча TechCrunch. "Есть люди, которые воспринимают сообщения о безопасности буквально и могут полагаться на это для своей безопасности, поэтому проект в своем текущем состоянии может подвергнуть их опасности."

Ссылаясь на свои и чужие выводы, Радочеа раскритиковал предупреждение Дорси о том, что Bitchat не был протестирован на безопасность.

«Я бы сказал, что он прошел внешнюю проверку безопасности, и ситуация не выглядит хорошо», — сказал он.

Просмотреть комментарии