Рубріки: Новини

Безінтернетний месенджер Bitchat від Джека Дорсі провалив перевірку безпеки

Дмитро Сімагін

Дослідники заявили, що новий месенджер Bitchat, створений засновником Twitter Джеком Дорсі, містить критичні вразливості, які ставлять під загрозу конфіденційність даних. Про це повідомляє TechCrunch.

Bitchat позиціонується як безпечний та приватний продукт без централізованої інфраструктури, який використовує лише Bluetooth та наскрізне шифрування замість інтернет-з’єднання. У технічній документації Дорсі стверджує, що його месенджер розроблено з пріоритетом на захист даних. Однак вже в перші дні експерти поставили під сумнів цю заяву.

Дорсі визнав, що код Bitchat не проходив незалежного аудиту, і розмістив на GitHub попередження про можливі вразливості. Розробник не рекомендує використовувати додаток для важливого листування, поки його безпека не буде підтверджена експертами. Щоправда, спочатку цього попередження не було — воно з’явилося пізніше, а потім Дорсі додав позначку «Work in progress», що говорить про незавершеність проекту.

Приводом для побоювання стали висновки дослідника Алекса Радочі, який виявив критичну вразливість у системі ідентифікації користувачів. Теоретично зловмисник може перехопити цифрові ключі та видати себе за довірений контакт, який відзначається Bitchat як «Вибраний». Радочі повідомив про це через тикетом в GitHub, але Дорсі спочатку закрив запит без коментарів, а потім знову відкрив, запропонувавши публікувати подібні звіти безпосередньо в репозиторії.

Інші фахівці також виявили проблеми. Один із них засумнівався у реалізації функції Forward secrecy, яка має захищати старі повідомлення навіть за компрометації ключа. Інший звернув увагу на потенційну вразливість переповнення буфера (buffer overflow), яке виникає, коли програма намагається записати більше даних у буфер пам’яті, ніж він може вмістити. Це дозволяє сторонній особі отримати доступ до пам’яті пристрою.

У підсумку Радочі заявив, що поточна версія Bitchat не готова для використання. За його словами, базові перевірки криптографії ідентифікаційних ключів не проводилися, а гучні заяви про безпеку можуть ввести в оману користувачів. 

Останні статті

Docker розширює можливості для розробки, розгортання та запуску агентних програм

Компанія Docker оголосила про запуск нових функцій для спрощення розробки, розгортання та запуску агентних додатків…

10.07.2025

Білл Гейтс: програмування залишиться на 100% людською професією навіть через століття

Співзасновник Microsoft Білл Гейтс стверджує, що генеративному штучному інтелекту бракує креативності та розсудливості, щоб замінити…

10.07.2025

Grok 4 перевершив PhD-рівень по всіх тестах, максимальний тариф коштує $300 щомісяця

Компанія xAI випустила Grok 4 — флагманську LLM-модель у сімействі Grok. Перші тести демонструють результати,…

10.07.2025

Після 30 місяців роботи над JIT-компілятором Python він все ще повільніший за інтерпретатор

Кен Джин, розробник ядра CPython, який працює над оптимізацією JIT-компілятора, заявив, що після двох з…

10.07.2025

OpenAI найближчим часом планує випустити браузер зі штучним інтелектом

Компанія OpenAI планує випустити власний браузер зі штучним інтелектом уже в найближчі тижні. Про це повідомила Speka. Новий браузер стане…

09.07.2025

У airSlate ймовірні зміни у керівництві. На посаду повертається Вадим Ясиновський

В ІТ-компанії airSlate, вірогідно, відбулася зміна CEO. Посаду замість Бориса Шахновича зайняв співзасновник бізнесу Вадим Ясиновський. Про…

09.07.2025