«جک دورسی»، همبنیانگذار توییتر (ایکس فعلی)، چند روز پیش از سرویس پیامرسانی جدیدی بهنام Bitchat رونمایی کرد که ادعا میکرد بدون وجود زیرساختهای متمرکز امکان تبادل پیام امن و خصوصی را فراهم میکند. بااینحال، بررسیها نشان میدهد که امنیت این اپلیکیشن آزموده نشده است.
اپلیکیشن پیامرسانی بیتچت از بلوتوث استفاده میکند و رمزنگاری دوطرفه دارد. براساس وایتپیپری که جک دورسی منتشر کرده است، طراحی Bitchat به امنیت اولویت میدهد. اما محققان امنیتی میگویند طبق اظهارات خود دورسی، این اپلیکیشن و کد آن از نظر مشکلات امنیتی بررسی و آزمایش نشده است.
پس از معرفی بیتچت، دورسی یک پیام هشدار را به صفحه گیتهاب این پیامرسان اضافه کرده است که میگوید: «این نرمافزار توسط مراجع بیرونی از نظر امنیتی بررسی نشده و شاید حاوی آسیبپذیریهایی باشد و لزوماً به اهداف امنیتی اظهارشدهاش دست نیابد. از این برنامه برای کارهای تولیدی استفاده نکنید، و تا زمانی که بررسی نشده است، روی امنیت آن حساب نکنید.»
این هشدار پیشتر در زمان معرفی Bitchat در گیتهاب آن وجود نداشت. همچنین جک دورسی از روز چهارشنبه هفته گذشته عبارت Work in progress را در کنار این هشدار قرار داده است تا یادآور شود که این پروژه همچنان در دست توسعه قرار دارد.
این هشدار پس از آن به صفحه گیتهاب بیتچت اضافه شد که یک محقق امنیتی بهنام «الکس رادوکیا» متوجه شد امکان جعل هویت افراد در این سرویس وجود دارد و میتوان کاربران را فریب داد تا فکر کنند با مخاطب اصلی خود درحال گفتگو هستند.
دوشنبه هفته گذشته رادوکیا تیکتی را در گیتهاب این پروژه ثبت و درخواست رفع این مشکل را کرد. مدتی بعد، دورسی آن را با برچسب «تکمیلشده» علامتگذاری کرد، اما توضیح دیگری نداد.
یک کاربر دیگر درباره ادعای دورسی مبنی بر Forward Secrecy ابراز تردید کرد. این تکنیک رمزنگاری اطمینان مییابد که حتی اگر یک مهاجم کلید رمزنگاری را بدزدد، همچنان نتواند پیامهایی را که قبلاً ارسال شده است، رمزگشایی کند.
رادوکیا میگوید کاربران فعلاً نمیتوانند به بیتچت اعتماد کنند. او توضیح داد: «امنیت قابلیت خوبی است که به تبلیغ و دستبهدست شدن سرویس شما کمک میکند...افرادی هستند که این پیام درباره حفظ امنیت را جدی میگیرند و ممکن است ایمنی خود را بهخاطر آن به خطر بیندازند، پس این پروژه در وضعیت فعلی خود میتواند آنها را در معرض خطر قرار دهد.»
