Jack Dorsey nói rằng ứng dụng Bitchat mới ‘an toàn’ của ông chưa được kiểm tra về bảo mật

Jack Dorsey, đồng sáng lập và giám đốc điều hành của Twitter Inc. và Square Inc., lắng nghe trong hội nghị Bitcoin 2021 tại Miami, Florida, Hoa Kỳ, vào thứ Sáu, ngày 4 tháng 6 năm 2021. (Hình ảnh: Eva Marie Uzcategui/Bloomberg/Getty Images) | Tín dụng hình ảnh: Eva Marie Uzcategui/Bloomberg / Getty Images Vào Chủ nhật, Giám đốc điều hành Block và đồng sáng lập Twitter Jack Dorsey đã ra mắt một ứng dụng chat mã nguồn mở có tên Bitchat, hứa hẹn cung cấp tin nhắn "an toàn" và "riêng tư" mà không cần cơ sở hạ tầng tập trung.

Ứng dụng dựa vào Bluetooth và mã hóa đầu cuối, không giống như các ứng dụng nhắn tin truyền thống dựa vào internet. Bằng cách phi tập trung, Bitchat có tiềm năng trở thành một ứng dụng an toàn trong những môi trường rủi ro cao nơi internet bị giám sát hoặc không thể truy cập. Theo tài liệu trắng của Dorsey chi tiết về các giao thức và cơ chế bảo mật của ứng dụng, thiết kế hệ thống của Bitchat "ưu tiên" an ninh.

Tuy nhiên, những tuyên bố rằng ứng dụng này là an toàn đang phải đối mặt với sự xem xét của các nhà nghiên cứu bảo mật, vì ứng dụng và mã của nó chưa được xem xét hoặc kiểm tra về các vấn đề bảo mật — theo lời thừa nhận của chính Dorsey.

Kể từ khi ra mắt, Dorsey đã bổ sung một cảnh báo trên trang GitHub của Bitchat: “Phần mềm này chưa nhận được đánh giá an ninh từ bên ngoài và có thể chứa lỗ hổng, và không nhất thiết đáp ứng được các mục tiêu an ninh đã nêu. Đừng sử dụng nó cho mục đích sản xuất, và đừng hoàn toàn phụ thuộc vào an ninh của nó cho đến khi nó được đánh giá.”

Cảnh báo này hiện cũng xuất hiện trên trang dự án chính của Bitchat trên GitHub, nhưng không có ở đó vào thời điểm ứng dụng ra mắt.

Tính đến thứ Tư, Dorsey đã thêm: “Công việc đang tiến triển,” bên cạnh cảnh báo trên GitHub.

Cảnh báo mới nhất này được đưa ra sau khi nhà nghiên cứu an ninh Alex Rodocea phát hiện ra rằng có thể giả mạo người khác và lừa dối các liên hệ của một người nghĩ rằng họ đang nói chuyện với liên hệ hợp pháp, như nhà nghiên cứu đã giải thích trong một bài viết trên blog.

Rodocea viết rằng Bitchat có một hệ thống "xác thực/kiểm tra danh tính" bị "hỏng" cho phép kẻ tấn công chặn "khóa danh tính" và "cặp id bạn bè" của ai đó - về cơ bản là một cái bắt tay kỹ thuật số nhằm thiết lập một kết nối đáng tin cậy giữa hai người sử dụng ứng dụng. Bitchat gọi những người này là "Danh bạ yêu thích" và đánh dấu chúng bằng biểu tượng ngôi sao. Mục tiêu của tính năng này là cho phép hai người dùng Bitchat tương tác, biết rằng họ đang nói chuyện với cùng một người mà họ đã nói chuyện trước đó.

Dorsey không phản hồi yêu cầu bình luận của TechCrunch gửi đến địa chỉ email Block của anh ấy.

Một ảnh chụp màn hình cho thấy một ví dụ về một cuộc trò chuyện nơi một kẻ tấn công đã giả mạo "Bob" trong cuộc trò chuyện với "Alice," mà Bitchat đã khiến nó có vẻ như thực sự đến từ Bob. (Hình ảnh: Alex Rodocea) Vào thứ Hai, Radocea đã gửi một yêu cầu trên dự án GitHub để hỏi cách báo cáo lỗ hổng bảo mật mà anh phát hiện trong hệ thống Bitchat Favorites. Ngay sau đó, Dorsey đã đánh dấu nó là "đã hoàn thành," mà không có bình luận. (Dorsey đã mở lại yêu cầu vào thứ Tư, nói rằng các vấn đề bảo mật có thể được báo cáo bằng cách đăng trực tiếp trên GitHub.)

Một người khác đã báo cáo những lo ngại về tuyên bố của Dorsey rằng Bitchat có "bí mật phía trước", một kỹ thuật mã hóa đảm bảo rằng ngay cả khi một kẻ tấn công đánh cắp hoặc xâm phạm một khóa mã hóa, kẻ tấn công đó vẫn không thể giải mã các tin nhắn đã gửi trước đó.

Câu chuyện tiếp tục. Ai đó cũng đã chỉ ra một lỗi tràn bộ đệm tiềm ẩn, đây là một loại lỗ hổng bảo mật phổ biến mà qua đó một hacker có thể buộc bộ nhớ của thiết bị tràn ra các vị trí khác, mở ra cánh cửa cho một cuộc xâm phạm dữ liệu.

Radocea cảnh báo rằng người dùng Bitchat không nên tin tưởng ứng dụng này chưa.

“Bảo mật là một tính năng tuyệt vời để trở nên lan truyền. Nhưng một kiểm tra hợp lý cơ bản, chẳng hạn như, liệu các khóa danh tính có thực sự thực hiện bất kỳ thuật toán mã hóa nào hay không, sẽ là một điều rất hiển nhiên cần kiểm tra khi xây dựng một cái gì đó như thế này,” Radocea nói với TechCrunch. “Có những người ở ngoài kia sẽ hiểu thông điệp về bảo mật một cách nghiêm túc và có thể dựa vào nó cho sự an toàn của họ, vì vậy dự án ở trạng thái hiện tại có thể đặt họ vào nguy hiểm.”

Về việc tham khảo những phát hiện của anh ấy và những người khác, Radocea đã chỉ trích cảnh báo của Dorsey rằng Bitchat chưa được kiểm tra về bảo mật.

"Tôi sẽ tranh luận rằng nó đã nhận được đánh giá bảo mật bên ngoài, và tình hình không mấy khả quan," ông nói.

Xem bình luận