„Безопасният“ месинджър Bitchat от създателя на Twitter не премина нито една от проверките за безопасност
Съоснователят на Twitter и изпълнителен шеф на Block Джак Дорси по-рано показа „ частен “ и „ безвреден “ Bitchat, който по подигравка на ориста се оказа сериозно уязвим.
Основната специфичност на приложението с отворен код —- децентрализацията, Bluetooth-обмена на известия без достъп до интернет и криптирането от край до край. Дорси съобщи, че Bitchat би трябвало да бъде изключително потребен на местата, където няма или е стеснен интернета — места на естествени бедствия, митинги и други сходни. Но единствено няколко дни след старта самият Дорси беше заставен да заяви за проблеми в GitHub.
„ Този софтуер не е тестван за сигурност, може да съдържа уязвимости и не е обезпечено, че е безвреден. Не би трябвало да го употребявате във значими планове, до момента в който не бъде тестван “ — написа Дорси.
Експертът по сигурност Алекс Радоча откри сериозна накърнимост: нападател може елементарно да се преструва на различен консуматор в чата. Той сподели образец, при който подправен „ Боб “ комуникира с „ Алис “, само че приложението Bitchat не предизвестява за подмяната на самоличността. Причината е в несъвършената система от „ Любими “ контакти. Звездичката до името не подсигурява достоверност без криптографско удостоверение.
Потребителите откриха и различен проблем — вероятно препълване на буфера и подправени изказвания за „ предварителна секретност “ (функция, която би трябвало да пази старите известия, в случай че ключовете са компрометирани). Той заяви за това посредством GitHub, само че Дорси в началото затвори поръчката без отговор. По-късно разработчикът написа: „ Работата е в развой “. Сега сигналите за такива уязвимости се одобряват непосредствено посредством GitHub.
Ако го погледнем по-широко, Bitchat през днешния ден е просто пробен план. Въпреки че беше показан като „ персонален “ и „ безвреден “, в действителност е прекомерно рано да го назовем по този начин. Особено в случай че си представим обстановка, в която месинджърът фактически се употребява по време на митинги, само че страната, против която се организира митингът, хакне системата и дезинформира тълпата. Следователно, към този момент Bitchat повдига повече въпроси и заплашва с опасности, в сравнение с извършва декларираните си цели.
