Месенджер Bitchat від творця Twitter виявився небезпечним

Днями Джек Дорсі представив новий додаток Bitchat — «безпечне та приватне» рішення для спілкування без інтернету. За задумом, передача повідомлень відбувається через Bluetooth, а вбудоване шифрування має захищати від прослуховування. Однак невдовзі після запуску фахівці з безпеки почали знаходити у програмному забезпеченні серйозні вразливості.

Додаток спочатку просувався як безпечний, хоча насправді він взагалі не проходив зовнішньої перевірки. Пізніше сам Дорсі додав попередження на GitHub, що Bitchat не тестувалося на безпеку, може містити помилки, а тому використовувати його в реальних умовах поки що не можна. Примітно, що це повідомлення з'явилося лише після того, як дослідники почали повідомляти про потенційні небезпеки.

Одну з головних уразливостей виявив Алекс Радосія. Він довів, що в Bitchat можна легко підробити чужий пристрій і змусити користувача повірити, що він спілкується з кимось зі свого списку контактів. Таке неприпустимо для месенджера, який просувається як надійний інструмент для конфіденційного листування.

Експерти також виявили інші потенційні загрози, включаючи ризик переповнення буфера — поширену вразливість, яка може спричинити витік даних. Крім того, заявлена ​​підтримка «перспективної таємності» (forward secrecy) поки що викликає сумніви: поки що немає підтверджень, що ця функція дійсно працює. Деякі критики прямо заявляють, що проект у поточному вигляді може наразити користувачів на небезпеку, якщо вони приймуть обіцянки про безпеку за чисту монету.

Сам Дорсі на скарги майже не реагує. Розробка програми продовжується, але фахівці з безпеки рекомендують не використовувати Bitchat для передачі особистої та конфіденційної інформації.