Svētdien bloķēt izpilddirektoru un Twitter līdzdibinātāju Džeku Dorsijs uzsāka atvērtā koda tērzēšanas lietotni ar nosaukumu Bitchat, daudzsološs Nodrošināt “drošu” un “privātu” ziņojumapmaiņu bez centralizētas infrastruktūras.
Lietotne balstās uz Bluetooth un visaptverošo šifrēšanu, atšķirībā no tradicionālajām ziņojumapmaiņas lietotnēm, kuras paļaujas uz internetu. Tā kā Bitchat ir decentralizēts, ir potenciāls būt drošai lietotnei augsta riska vidē, kur tiek uzraudzīts vai nepieejams internets. Pēc Dorsija teiktā baltā papīra Detalizējot lietotnes protokolus un privātuma mehānismus, Bitchat sistēmas dizains “prioritizē” drošību.
Guess apgalvojumi, ka lietotne ir droša, tomēr jau saskaras ar drošības pētniekiem pārbaudi, ņemot vērā, ka lietotne un tās kods vispār nav pārskatīts vai pārbaudīts drošības jautājumos – pēc pašas Dorsija atzīšanas.
Kopš palaišanas Dorsey ir pievienoja brīdinājumu Bitchat GitHub lapā: “Šī programmatūra nav saņēmusi ārēju drošības pārskatu un var saturēt ievainojamības un ne vienmēr atbilst saviem noteiktajiem drošības mērķiem. Nelietojiet to ražošanas vajadzībām un nepaļaujieties uz tās drošību, kamēr tas nav pārskatīts.”
Šis brīdinājums tagad parādās arī Bitchat galvenajā GitHub projekta lapā, guess tajā laikā, kad lietotne debitēja, nebija tur.
Sākot ar trešdienu, Dorsey pievienots: “Pagaidāms darbs” blakus brīdinājumam par Github.
Šī jaunākā atruna nāca pēc tam, kad drošības pētnieks Alekss Radocea atklāja, ka ir iespējams uzdoties par kādu citu un pievilināt cilvēka kontaktus, domājot, ka viņi runā ar likumīgu kontaktu, Kā pētnieks paskaidroja emuāra ierakstāApvidū
Radocea rakstīja, ka Bitchat ir “salauzta identitātes autentifikācija/verifikācijas” sistēma, kas ļauj uzbrucējam pārtvert kāda cilvēka “identitātes atslēgu” un “vienaudžu ID pāri” – būtībā digitālu rokasspiedienu, kas, domājams, izveido uzticamu savienojumu starp diviem cilvēkiem, izmantojot lietotni. Bitchat sauc šos “iecienītākos” kontaktus un atzīmē tos ar zvaigžņu ikonu. Šīs funkcijas mērķis ir ļaut diviem bitchat lietotājiem mijiedarboties, zinot, ka viņi runā ar to pašu cilvēku, ar kuru viņi runāja iepriekš.
Dorsijs neatbildēja uz TechCrunch lūgumu komentēt, kas nosūtīts uz viņa bloka e -pasta adresi.
Pirmdien Radocea iesniedza biļeti GitHub projektam, lai pajautātu, kā ziņot par drošības trūkumu, ko viņš atklāja Bitchat izlases sistēmā. Drīz pēc tam Dorsijs to atzīmēja kā “pabeigtu” bez komentāriem. (Dorsijs atkārtoti atvēra biļeti Trešdien, sakot drošības jautājumus, var ziņot, tieši ievietojot GitHub.)
Cita persona ziņots Bažas par Dorsija apgalvojumiem, ka Bitchat ir “uz priekšu slepenība”, kriptogrāfijas paņēmiens, kas nodrošina, ka pat tad, ja uzbrucējs nozog vai apdraud šifrēšanas atslēgu, tas uzbrucējs joprojām nevar atšifrēt iepriekš nosūtītos ziņojumus.
Kāds arī norādīts Potenciāla bufera pārplūdes kļūda, kas ir izplatīts drošības ievainojamības veids, kad hakeris var piespiest ierīces atmiņu iziet uz citām vietām, atverot durvis datu kompromisam.
Radocea brīdināja, ka Bitchat lietotājiem vēl nevajadzētu uzticēties lietotnei.
“Drošība ir lieliska iezīme, lai pārietu vīrusu. “Tur ir cilvēki, kas burtiski aizvestu ziņojumapmaiņu un varētu uz to paļauties uz savu drošību, tāpēc projekts pašreizējā stāvoklī viņus varētu apdraudēt.”
Atsaucoties uz viņa un citu cilvēku secinājumiem, Radocea kritizēja Dorsija brīdinājumu, ka Bitchat nav pārbaudīts, lai nodrošinātu drošību.
“Es iebilstu, ka tas ir saņēmis ārēju drošības pārskatu, un tas neizskatās labi,” viņš teica.
