Джек Дорсі каже, що його новий «безпечний» додаток Bitchat не був протестований на безпеку

Джек Дорсі, співзасновник і головний виконавчий директор Twitter Inc. та Square Inc., слухає під час конференції Біткойн 2021 у Маямі, Флорида, США, у п'ятницю, 4 червня 2021 року. (Зображення: Ева Марія Ускагетуй/Блумберг/Getty Images) | Авторські права на зображення: Ева Марія Ускагетуй/Блумберг / Getty Images У неділю, CEO Блоку та співзасновник Twitter Джек Дорсі запустив відкритий чат-додаток під назвою Bitchat, обіцяючи надати "безпечне" та "приватне" повідомлення без централізованої інфраструктури.

Додаток покладається на Bluetooth та наскрізне шифрування, на відміну від традиційних месенджерів, які залежать від інтернету. Завдяки децентралізації, Bitchat має потенціал стати безпечним додатком у високоризикованих середовищах, де інтернет контролюється або недоступний. Згідно з білим документом Дорсі, в якому детально описані протоколи та механізми конфіденційності додатку, система Bitchat «пріоритетизує» безпеку.

Але заяви про те, що додаток є безпечним, вже піддаються критиці з боку дослідників безпеки, враховуючи, що додаток і його код зовсім не були перевірені або протестовані на наявність проблем з безпекою — за визнанням самого Дорсі.

З моменту запуску Дорсі додав попередження на сторінку GitHub Bitchat: "Це програмне забезпечення не проходило зовнішній аудит безпеки і може містити вразливості та не обов'язково відповідає заявленим цілям безпеки. Не використовуйте його для виробничого використання і не покладайтеся на його безпеку взагалі, поки воно не буде перевірено."

Це попередження тепер також з'являється на головній сторінці проекту Bitchat на GitHub, але його не було в момент дебюту додатка.

Станом на середу, Дорсі додав: “В роботі,” поруч із попередженням на GitHub.

Цей останній відмова від відповідальності з'явився після того, як дослідник з безпеки Алекс Родоцеа виявив, що можливе підроблення особи та обманювання контактів людини, змушуючи їх думати, що вони спілкуються з легітимним контактом, як пояснив дослідник у блозі.

Родоцеа написав, що Bitchat має «пошкоджену систему аутентифікації/перевірки особи», яка дозволяє зловмиснику перехоплювати «ідентифікаційний ключ» і «пару ідентифікаторів» — по суті, цифрове рукостискання, яке повинно встановлювати довірене з'єднання між двома людьми, які використовують додаток. Bitchat називає ці контакти «Улюбленими» і позначає їх іконкою зірки. Мета цієї функції — дозволити двом користувачам Bitchat взаємодіяти, знаючи, що вони спілкуються з тією ж особою, з якою говорили раніше.

Дорсі не відповів на запит TechCrunch щодо коментаря, надісланий на його електронну адресу Block.

Знімок екрана, що демонструє приклад чату, де зловмисник видавав себе за "Боба" в чаті з "Алісою", що Bitchat зробив так, ніби це дійсно надходило від Боба. (Зображення: Алекс Родочеа) У понеділок Родоцеа подав заявку в проект GitHub, щоб запитати, як повідомити про виявлений ним недолік безпеки в системі Bitchat Favorites. Незабаром після цього Дорсі позначив її як "завершену", без коментарів. (Дорсі повторно відкрив заявку в середу, сказавши, що проблеми безпеки можна повідомляти, публікуючи безпосередньо на GitHub.)

Інша особа повідомила про занепокоєння щодо заяв Дорсі про те, що Bitchat має "передню секретність", криптографічну техніку, яка забезпечує, що навіть якщо зловмисник вкраде або скомпрометує ключ шифрування, цей зловмисник все одно не зможе розшифрувати раніше надіслані повідомлення.

Історія продовжується. Хтось також вказав на потенційну помилку переповнення буфера, яка є поширеним типом вразливості безпеки, коли хакер може змусити пам'ять пристрою виливатися в інші місця, відкриваючи шлях для компрометації даних.

Radocea попередив, що користувачі Bitchat не повинні покладатися на додаток поки що.

“Безпека є чудовою функцією для того, щоб стати вірусним. Але базова перевірка на адекватність, наприклад, чи дійсно ідентифікаційні ключі виконують якусь криптографію, була б дуже очевидною річчю для тестування під час створення чогось подібного,” сказав Радоцеа TechCrunch. “Є люди, які сприймають повідомлення про безпеку дослівно і можуть покладатися на це для своєї безпеки, тому проект у своєму теперішньому стані може поставити їх під загрозу.”

Посилаючись на свої та інші результати, Радоцеа розкритикував попередження Дорсі про те, що Bitchat не був перевірений на безпеку.

"Я б сказав, що він пройшов зовнішній аудит безпеки, і ситуація виглядає не дуже добре," сказав він.

Переглянути коментарі