Сооснователь Twitter и глава Block Джек Дорси ранее представил «приватный» и «безопасный» Bitchat, который иронично оказался критически уязвим.
Основная фишка приложения с открытым кодом — децентрализация, Bluetooth-обмен сообщениями без доступа к Интернету и сквозное шифрование. Дорси говорил, что Bitchat должен быть особенно полезен там, где нет или ограничен интернет — места стихийных бедствий, протесты и тому подобное. Но уже через несколько дней после запуска сам Дорси вынужден был сообщить на GitHub о проблемах.
«Это программное обеспечение не проверялось на безопасность, может иметь уязвимости и не гарантирует защиту. Не стоит использовать его в важных проектах, пока его не проверят», — пишет Дорси.
Эксперт по безопасности Алекс Радоча обнаружил серьезную уязвимость: в чате злоумышленник может легко притвориться другим пользователем. Он показал пример, где фейковый «Боб» общается с «Алисой», но приложение Bitchat не предупреждает ее о подмене личности. Причина — недоработанная система «Избранных» контактов. Звездочка возле имени не гарантирует подлинность без криптографического подтверждения.
Также пользователи нашли еще одну проблему — возможное переполнение буфера и ложные заявления о «прямой секретности» (это функция, которая должна защищать старые сообщения, если ключи скомпрометированы). Он сообщил об этом через GitHub, но сначала Дорси закрыл запрос без ответа. Позже разработчик написавший: «Работа продолжается». Теперь отчеты о таких уязвимостях принимаются напрямую через GitHub.
Если смотреть шире, то Bitchat на сегодня просто экспериментальный проект. Хотя его представляли «приватным» и «безопасным» — по факту таковым его называть рано. Особенно, если представить ситуацию, где мессенджер действительно используют во время протестов, но сторона, против которой вышли на митинг, взламывает систему и дезинформирует толпу. Поэтому пока Bitchat вызывает больше вопросов и грозит рисками, чем соответствует заявленным целям.
Источник: GitHub
