Jack Dorsey, ‘güvenli’ yeni Bitchat uygulamasının güvenlik için test edilmediğini söylüyor.

Twitter Inc. ve Square Inc.'in kurucu ortağı ve CEO'su Jack Dorsey, 4 Haziran 2021 Cuma günü Miami, Florida, ABD'de Bitcoin 2021 konferansında dinliyor. (Görüntü: Eva Marie Uzcategui/Bloomberg/Getty Images) | Görüntü Kredileri: Eva Marie Uzcategui/Bloomberg / Getty Images Pazar günü, Block CEO'su ve Twitter'ın kurucu ortağı Jack Dorsey, merkezi bir altyapı olmadan "güvenli" ve "özel" mesajlaşma vaadiyle Bitchat adında açık kaynaklı bir sohbet uygulaması başlattı.

Uygulama, internetten yararlanan geleneksel mesajlaşma uygulamalarının aksine Bluetooth ve uçtan uca şifrelemeye dayanıyor. Merkeziyetsiz olması sayesinde, Bitchat, internetin izlenebildiği veya erişilemediği yüksek riskli ortamlarda güvenli bir uygulama olma potansiyeline sahiptir. Dorsey'in uygulamanın protokollerini ve gizlilik mekanizmalarını detaylandıran beyaz kitabına göre, Bitchat'ın sistem tasarımı "güvenliği" "önceliklendirir".

Ancak uygulamanın güvenli olduğu iddiaları, Dorsey'nin kendi itirafına göre, uygulama ve kodunun güvenlik sorunları için hiç incelenmediği veya test edilmediği göz önüne alındığında, güvenlik araştırmacıları tarafından zaten sorgulanıyor.

Başlangıcından bu yana, Dorsey Bitchat’ın GitHub sayfasına bir uyarı ekledi: "Bu yazılım, dışarıdan bir güvenlik incelemesi almadı ve açıklar içerebilir ve belirtilen güvenlik hedeflerini karşılamayabilir. Bunu üretim kullanımı için kullanmayın ve güvenliğine kesinlikle güvenmeyin, inceleme yapılana kadar."

Bu uyarı şimdi Bitchat'ın ana GitHub proje sayfasında da görünüyor, ancak uygulamanın piyasaya sürüldüğü zaman orada yoktu.

Çarşamba itibarıyla, Dorsey ekledi: "Devam eden bir çalışma," GitHub'daki uyarının yanına.

Bu son uyarı, güvenlik araştırmacısı Alex Rodocea'nın, başka birini taklit etmenin ve bir kişinin bağlantılarını, meşru kişiyle konuşuyormuş gibi düşünmeye ikna etmenin mümkün olduğunu bulmasının ardından geldi. Araştırmacı, bunu bir blog gönderisinde açıkladı.

Rodocea, Bitchat'ın bir "bozuk kimlik doğrulama/ doğrulama" sistemine sahip olduğunu yazdı ve bu sistemin bir saldırganın birinin "kimlik anahtarını" ve "eş peer kimliğini" ele geçirmesine olanak tanıdığını belirtti — temelde uygulamayı kullanan iki kişi arasında güvenilir bir bağlantı kurması gereken dijital bir el sıkışma. Bitchat, bunları "Favori" kişiler olarak adlandırır ve bir yıldız simgesi ile işaretler. Bu özelliğin amacı, iki Bitchat kullanıcısının, daha önce konuştukları aynı kişiyle sohbet ettiklerini bilerek etkileşimde bulunmalarını sağlamaktır.

Dorsey, TechCrunch'ın Block e-posta adresine gönderdiği yorum talebine yanıt vermedi.

Bir saldırganın “Alice” ile yaptığı sohbette “Bob” olarak kendini tanıttığı bir sohbetin örneğini gösteren bir ekran görüntüsü. Bitchat, bunun gerçekten Bob'dan geldiği izlenimini yarattı. (Görüntü: Alex Rodocea) Pazartesi günü, Radocea, Bitchat Favoriler sisteminde keşfettiği güvenlik açığını bildirmek için GitHub projesinde bir destek talebi açtı. Kısa süre sonra, Dorsey bunu “tamamlandı” olarak işaretledi, yorum yapmadan. (Dorsey, Çarşamba günü bu talebi yeniden açtı ve güvenlik sorunlarının doğrudan GitHub'da paylaşarak bildirilebileceğini söyledi.)

Başka bir kişi, Dorsey'in Bitchat'ın "ileriye dönük gizlilik" iddialarıyla ilgili endişelerini bildirdi; bu, bir saldırgan bir şifreleme anahtarını çalsa veya tehlikeye atsa bile, o saldırganın daha önce gönderilen mesajları deşifre edemeyeceğini garanti eden bir kriptografik tekniktir.

Hikaye Devam EdiyorBirisi, bir hacker'ın bir cihazın belleğini diğer konumlara taşımaya zorlayabileceği ve bu durumun bir veri ihlaline kapı açan yaygın bir güvenlik açığı türü olduğu potansiyel bir tampon taşması hatasına dikkat çekti.

Radocea, Bitchat kullanıcılarının uygulamaya henüz güvenmemeleri gerektiğini uyardı.

“Güvenlik, viral olma için harika bir özellik. Ancak, kimlik anahtarlarının gerçekten herhangi bir kriptografi yapıp yapmadığı gibi temel bir akıl sağlığı kontrolü, bu gibi bir şey inşa ederken test edilmesi gereken çok açık bir şey olurdu,” Radocea, TechCrunch'a söyledi. “Güvenlik etrafındaki mesajları harfi harfine alacak ve bunun güvenliği için güvenebilecek insanlar var, bu nedenle projenin mevcut durumu onları tehlikeye atabilir.”

Kendi ve diğer insanların bulgularına atıfta bulunarak, Radocea, Dorsey'in Bitchat'ın güvenlik için test edilmediği uyarısını eleştirdi.

"Dış güvenlik incelemesi aldığını savunurdum ve durum iyi görünmüyor," dedi.

Yorumları Görüntüle