Безінтернетний месенджер Bitchat від Джека Дорсі провалив перевірку безпеки

Дослідники заявили, що новий месенджер Bitchat, створений засновником Twitter Джеком Дорсі, містить критичні вразливості, які ставлять під загрозу конфіденційність даних. Про це повідомляє TechCrunch.

Bitchat позиціонується як безпечний та приватний продукт без централізованої інфраструктури, який використовує лише Bluetooth та наскрізне шифрування замість інтернет-з’єднання. У технічній документації Дорсі стверджує, що його месенджер розроблено з пріоритетом на захист даних. Однак вже в перші дні експерти поставили під сумнів цю заяву.

Дорсі визнав, що код Bitchat не проходив незалежного аудиту, і розмістив на GitHub попередження про можливі вразливості. Розробник не рекомендує використовувати додаток для важливого листування, поки його безпека не буде підтверджена експертами. Щоправда, спочатку цього попередження не було — воно з’явилося пізніше, а потім Дорсі додав позначку «Work in progress», що говорить про незавершеність проекту.

Приводом для побоювання стали висновки дослідника Алекса Радочі, який виявив критичну вразливість у системі ідентифікації користувачів. Теоретично зловмисник може перехопити цифрові ключі та видати себе за довірений контакт, який відзначається Bitchat як «Вибраний». Радочі повідомив про це через тикетом в GitHub, але Дорсі спочатку закрив запит без коментарів, а потім знову відкрив, запропонувавши публікувати подібні звіти безпосередньо в репозиторії.

Інші фахівці також виявили проблеми. Один із них засумнівався у реалізації функції Forward secrecy, яка має захищати старі повідомлення навіть за компрометації ключа. Інший звернув увагу на потенційну вразливість переповнення буфера (buffer overflow), яке виникає, коли програма намагається записати більше даних у буфер пам’яті, ніж він може вмістити. Це дозволяє сторонній особі отримати доступ до пам’яті пристрою.

У підсумку Радочі заявив, що поточна версія Bitchat не готова для використання. За його словами, базові перевірки криптографії ідентифікаційних ключів не проводилися, а гучні заяви про безпеку можуть ввести в оману користувачів.