杰克·多尔西表示他的新聊天应用Bitchat虽然‘安全’，但尚未进行安全测试

推特公司和Square公司的联合创始人兼首席执行官杰克·多西在2021年6月4日星期五于美国佛罗里达州迈阿密举行的比特币2021大会上聆听。(图片来源：Eva Marie Uzcategui/Bloomberg/Getty Images) | 图片来源：Eva Marie Uzcategui/Bloomberg / Getty Images 周日，区块首席执行官及推特联合创始人杰克·多西推出了一款名为Bitchat的开源聊天应用，承诺提供“安全”和“私密”的消息传递，且没有集中化的基础设施。

该应用依赖蓝牙和端对端加密，与传统的依赖互联网的消息应用不同。由于去中心化，Bitchat 在互联网受到监控或无法访问的高风险环境中具有成为安全应用的潜力。根据 Dorsey 的白皮书，详细说明了该应用的协议和隐私机制，Bitchat 的系统设计 "优先考虑" 安全性。

然而，关于该应用程序安全性的说法已经受到安全研究人员的审查，因为该应用程序及其代码根本没有经过审查或测试安全问题——根据多尔西自己的承认。

自发布以来，Dorsey 在 Bitchat 的 GitHub 页面上添加了一条警告：“该软件尚未经过外部安全审查，可能存在漏洞，并且不一定符合其声明的安全目标。请勿用于生产环境，且在经过审查之前，请勿依赖其安全性。”

此警告现在也出现在Bitchat的主要GitHub项目页面上，但在应用程序首次发布时并不存在。

截至星期三，多尔西在GitHub上的警告旁边添加了：“正在进行中”。

这份最新的免责声明是在安全研究员亚历克斯·罗多西亚发现可以冒充他人，并欺骗一个人的联系人认为他们在与合法联系人交谈之后发布的，正如这位研究员在一篇博客文章中所解释的。

Rodocea写道，Bitchat有一个“身份认证/验证”系统存在“漏洞”，这允许攻击者拦截某人的“身份密钥”和“对等ID对”——本质上是一个数字握手，应该在使用该应用的两个人之间建立一个可信的连接。Bitchat将这些称为“收藏夹”联系人，并用星形图标标记它们。此功能的目标是允许两个Bitchat用户互动，知道他们正在与之前交谈的同一个人交谈。

多尔西没有回应TechCrunch发往其Block电子邮件地址的评论请求。

一张截图显示了一个聊天的例子，其中攻击者在与“Alice”的聊天中冒充“Bob”，Bitchat让人感觉这真的来自Bob。 (图片：Alex Rodocea) 周一，Radocea在GitHub项目上提交了一个工单，询问如何报告他在Bitchat收藏系统中发现的安全漏洞。 不久之后，Dorsey将其标记为“已完成”，没有发表评论。 (Dorsey在周三重新打开了工单，表示安全问题可以通过直接在GitHub上发布来报告。)

另一位人士对多尔西声称Bitchat具有“前向保密”表示担忧，这是一种加密技术，确保即使攻击者窃取或破坏了加密密钥，该攻击者仍然无法解密以前发送的消息。

故事继续有人还指出了一个潜在的缓冲区溢出漏洞，这是一种常见的安全漏洞类型，黑客可以迫使设备的内存溢出到其他位置，从而为数据泄露打开了大门。

Radocea警告Bitchat用户暂时不要信任该应用。

“安全是一个很好的功能，可以让项目迅速传播。但在构建这样的项目时，像身份密钥是否真的进行任何加密这样的基本合理性检查，将是一个非常明显的测试。”Radocea对TechCrunch表示。“有些人可能会字面上理解关于安全的消息，并可能依赖它来保护自己，因此该项目目前的状态可能会危及他们。”

Radocea批评了Dorsey关于Bitchat尚未经过安全测试的警告，提到了他和其他人的研究发现。

“我认为它已经接受了外部安全审查，但结果不太理想，”他说。

查看评论