В воскресенье генеральный директор Block и соучредитель Twitter Джек Дорси запустил чат-приложение с открытым исходным кодом под названием Bitchat, пообещав обеспечить «безопасный» и «конфиденциальный» обмен сообщениями без централизованной инфраструктуры.
Приложение использует Bluetooth и сквозное шифрование, в отличие от традиционных приложений для обмена сообщениями, которые полагаются на интернет. Благодаря децентрализации Bitchat может стать безопасным приложением в условиях высокого риска, когда интернет находится под контролем или недоступен. Согласно официальному документу Дорси, в котором подробно описаны протоколы и механизмы конфиденциальности приложения, в системе Bitchat «приоритетом» является безопасность.
Однако утверждения о безопасности приложения уже подвергаются тщательной проверке со стороны исследователей в области безопасности, учитывая, что приложение и его код не были проверены или протестированы на наличие проблем с безопасностью — по собственному признанию Дорси.
С момента запуска Дорси добавил предупреждение на страницу Bitchat в GitHub: «Это программное обеспечение не прошло внешнюю проверку безопасности, может содержать уязвимости и не обязательно соответствует заявленным целям безопасности. Не используйте его в производственных целях и не полагайтесь на его безопасность до тех пор, пока оно не будет проверено».
Это предупреждение теперь также появляется на главной странице проекта Bitchat в GitHub, но его не было на момент запуска приложения.
В среду Дорси добавил: «Работа в процессе» рядом с предупреждением на GitHub.
Это последнее предупреждение появилось после того, как исследователь в области безопасности Алекс Радоча обнаружил, что можно выдать себя за другого человека и обмануть его контакты, заставив их думать, что они общаются с настоящим контактом, как объяснил исследователь в своем блоге.
Радоча написал, что Bitchat имеет «неисправную систему аутентификации/верификации личности», которая позволяет злоумышленнику перехватить «ключ личности» и «пару идентификаторов» другого человека — по сути, цифровой рукопожатие, которое должно установить надежное соединение между двумя людьми, использующими приложение. Bitchat называет эти контакты «избранными» и помечает их значком в виде звездочки. Цель этой функции — позволить двум пользователям Bitchat взаимодействовать, зная, что они общаются с тем же человеком, с которым общались раньше.
Дорси не ответил на запрос TechCrunch о комментарии, отправленный на его адрес электронной почты Block.
В понедельник Радоча подал заявку в проект GitHub с вопросом, как сообщить о обнаруженной им уязвимости в системе «Избранное» Bitchat. Вскоре после этого Дорси пометил ее как «завершенную» без комментариев. (Дорси вновь открыл заявку в среду, заявив, что о проблемах безопасности можно сообщать, публикуя информацию непосредственно на GitHub).
Другой человек выразил озабоченность по поводу заявлений Дорси о том, что Bitchat имеет «прямую секретность», криптографическую технику, которая гарантирует, что даже если злоумышленник украдет или скомпрометирует ключ шифрования, он все равно не сможет расшифровать ранее отправленные сообщения.
Кто-то также указал на потенциальную ошибку переполнения буфера, которая является распространенным типом уязвимости безопасности, когда хакер может заставить память устройства переполниться в другие места, открывая дверь для компрометации данных.
Радоча предупредил, что пользователи Bitchat пока не должны доверять приложению.
«Безопасность — отличная функция для вирусного распространения. Но базовая проверка работоспособности, например, действительно ли ключи идентификации выполняют какую-либо криптографию, была бы очень очевидной вещью для тестирования при создании чего-то подобного», — сказал Радоча TechCrunch. «Есть люди, которые воспринимают сообщения о безопасности буквально и могут полагаться на них для своей безопасности, поэтому проект в его текущем состоянии может подвергнуть их опасности».
Ссылаясь на свои и чужие выводы, Радоча раскритиковал предупреждение Дорси о том, что Bitchat не был протестирован на безопасность.
«Я бы сказал, что он прошел внешнюю проверку безопасности, и результаты не выглядят обнадеживающими», — сказал он.
Оригинал
Уникальность
