周日,Block 首席执行官兼 Twitter 联合创始人杰克·多西 (Jack Dorsey)推出了一款名为 Bitchat 的开源聊天应用,承诺在没有集中式基础设施的情况下提供“安全”和“私密”的消息传递。
与依赖互联网的传统消息应用不同,Bitchat 依靠蓝牙和端到端加密技术。由于采用去中心化设计,Bitchat 有可能在互联网受到监控或无法访问的高风险环境中成为一款安全的应用。根据 Dorsey 的白皮书,该白皮书详细介绍了该应用的协议和隐私机制,Bitchat 的系统设计“优先考虑”安全性。
然而,该应用程序安全的说法已经面临安全研究人员的审查,因为该应用程序及其代码根本没有经过安全问题审查或测试——多西自己也承认这一点。
自推出以来,Dorsey 就在 Bitchat 的 GitHub 页面上添加了一条警告:“该软件尚未接受外部安全审查,可能存在漏洞,且未必符合其声明的安全目标。请勿将其用于生产用途,在审查完成之前,请勿对其安全性有任何依赖。”
此警告现在也出现在 Bitchat 的主要 GitHub 项目页面上,但在该应用程序首次亮相时并不存在。
截至周三,Dorsey在 GitHub 上的警告旁边 补充道:“工作正在进行中”。
这一最新免责声明是在安全研究员 Alex Radocea 发现可以冒充他人并欺骗某人的联系人使其认为他们正在与合法联系人交谈之后发布的,正如该研究员在一篇博客文章中所解释的那样。
Radocea 写道,Bitchat 的“身份验证/验证”系统存在漏洞,攻击者可以拦截某人的“身份密钥”和“对等 ID 对”——本质上是一种数字握手,旨在在使用该应用的两个人之间建立信任连接。Bitchat 将这些联系人称为“收藏”联系人,并用星号图标标记。此功能的目的是让两个 Bitchat 用户在互动时,知道他们正在与之前聊天的同一个人交谈。
该屏幕截图显示了一个聊天示例,其中攻击者在与“爱丽丝”的聊天中冒充“鲍勃”,而 Bitchat 使聊天看起来好像真的来自鲍勃。图片来源: Alex Radocea
周一,Radocea 在 GitHub 项目上提交了一份工单,询问如何报告他在 Bitchat 收藏夹系统中发现的安全漏洞。不久之后,多西将其标记为“已完成”,未作任何评论。(多西于周三重新开启了工单,称可以直接在 GitHub 上提交报告。)
另一个人对 Dorsey 声称 Bitchat 具有“前向保密性”表示担忧,这是一种加密技术,可以确保即使攻击者窃取或破坏加密密钥,攻击者仍然无法解密之前发送的消息。
有人还指出了潜在的缓冲区溢出漏洞,这是一种常见的安全漏洞,黑客可以强制设备内存溢出到其他位置,从而为数据泄露打开大门。Radocea 警告称,Bitchat 用户暂时不要相信该应用程序。
“安全性是让产品迅速走红的重要因素。但在构建这类产品时,进行基本的健全性检查,比如身份密钥是否真的具备加密功能,显然是需要测试的,有些人会从字面上理解关于安全性的信息,并可能依赖它来保障自身安全,因此,目前这个项目的状态可能会危及他们。”拉多西亚引用了他和其他人的发现,批评了多西关于 Bitchat 尚未经过安全测试的警告。 “我认为它已经接受了外部安全审查,而且情况看起来不太好,”他说。
