کارشناسان امنیت سایبری نسبت به ضعفهای جدی Bitchat، اپ پیامرسان جدید جک دورسی هشدار دادند و خود دورسی نیز اذعان کرده که امنیت این نرمافزار هنوز بررسی نشده است.
به گزارش تکناک، جک دورسی، همبنیانگذار توییتر و مدیرعامل شرکت Block، روز یکشنبه با وعده ارائه یک پیامرسان «امن» و «خصوصی»، از اپلیکیشن متنباز جدیدی به نام Bitchat رونمایی کرد.
برخلاف پیامرسانهای سنتی که به اینترنت وابسته هستند، Bitchat از فناوری بلوتوث و رمزنگاری سرتاسری (End-to-End Encryption) استفاده میکند. این طراحی غیرمتمرکز، بهویژه در محیطهایی با خطر بالا که اینترنت قابل دسترسی یا قابل اعتماد نیست، میتواند مزیتی بالقوه برای حفظ امنیت ارتباطات باشد. در «وایتپیپر» منتشرشده از سوی دورسی درباره پروتکلها و سازوکارهای حفظ حریم خصوصی این اپ، گفته شده که طراحی این سیستم بر «اولویت دادن به امنیت» استوار است.
با وجود این، ادعای امنیت بالای این اپلیکیشن، بلافاصله پس از انتشار، مورد تردید کارشناسان امنیت سایبری قرار گرفت؛ چرا که کد و عملکرد برنامه تاکنون هیچ بررسی مستقلی از منظر امنیتی نداشته است.
به دنبال این انتقادات، دورسی هشدار تازهای را به صفحه پروژه در GitHub اضافه کرد:
«این نرمافزار تاکنون هیچ بازبینی امنیتی خارجی دریافت نکرده و ممکن است دارای آسیبپذیریهایی باشد. بنابراین، نباید از آن در محیطهای عملیاتی استفاده کرد یا به ادعاهای امنیتی آن اعتماد کرد؛ مگر آنکه بررسی دقیقی صورت گیرد.»
این هشدار که اکنون به صفحه اصلی پروژه Bitchat در گیتهاب نیز اضافه شده است، در زمان عرضه اولیه این اپ پیامرسان وجود نداشت. همچنین دورسی از روز چهارشنبه کنار این هشدار عبارت «در دست توسعه» را اضافه کرد.
این هشدار پس از آن منتشر شد که الکس رادوسئا، پژوهشگر امنیت سایبری، در یک پست وبلاگی توضیح داد که امکان جعل هویت در این اپلیکیشن وجود دارد و مهاجمان میتوانند کاربران را فریب دهند تا تصور کنند با فرد درست در حال گفتوگو هستند.
رادوسئا نوشت که Bitchat دچار ضعف جدی در سیستم «احراز و تأیید هویت» است؛ به طوری که مهاجم میتواند کلید هویتی (identity key) و شناسه همتا (peer ID pair) یک کاربر را رهگیری کند؛ مؤلفههایی که قرار است اتصال امن و قابل اعتماد بین دو کاربر ایجاد کنند. این اپ کاربران تأییدشده را با آیکون ستارهای مشخص و از آنها با عنوان «مورد علاقه» یاد میکند تا کاربران بدانند با همان فرد قبلی در حال گفتوگو هستند.
دورسی به درخواست اظهارنظر TechCrunch که به ایمیل شرکت Block ارسال شده بود، پاسخی نداد.
رادوسئا روز دوشنبه، گزارشی درباره این آسیبپذیری در سیستم “Favorites” اپ را در گیتهاب ثبت کرد. دورسی ابتدا بدون توضیح آن را بهعنوان «انجامشده» علامت زد، اما روز چهارشنبه مجدد آن را باز و اعلام کرد که مسائل امنیتی را میتوان به صورت مستقیم از طریق گیتهاب گزارش داد.
در همین حال، فردی دیگر نسبت به ادعای دورسی درباره وجود «رمزنگاری پیشنگر» (Forward Secrecy) در اپ پیامرسان Bitchat ابراز تردید کرد؛ ویژگی که تضمین میکند حتی اگر کلید رمزنگاری بهدست مهاجم بیفتد، پیامهای قبلی همچنان غیرقابل خواندن باقی بمانند.
کاربر دیگری نیز به احتمال وجود یک باگ سرریز بافر (Buffer Overflow) اشاره کرد؛ نوعی آسیبپذیری رایج که میتواند به مهاجمان امکان دهد حافظه دستگاه را دستکاری و دادهها را سرقت کنند.
رادوسئا هشدار داد که کاربران فعلاً نباید به امنیت این اپلیکیشن اعتماد کنند. او به TechCrunch گفت: «امنیت یک ویژگی عالی برای ویروسی شدن یک اپلیکیشن است، اما انجام یک بررسی ابتدایی — مثلاً اینکه آیا کلیدهای هویتی واقعاً کار رمزنگاری انجام میدهند یا نه — یکی از اولین قدمهای ضروری در ساخت چنین برنامهای است. بعضیها ممکن است پیامهای تبلیغاتی درباره امنیت را جدی بگیرند و برای حفاظت از خود به آن اعتماد کنند؛ در نتیجه در وضعیت فعلی، این پروژه میتواند آنها را به خطر بیندازد.»
رادوسئا در انتها با اشاره به یافتههای خود و دیگران، نسبت به هشدار فعلی دورسی که میگوید اپ پیامرسان Bitchat بررسی امنیتی نشده است، انتقاد کرد و گفت:
«من فکر میکنم این اپلیکیشن حالا بررسی امنیتی خارجی را دریافت کرده است و نتایج آن اصلاً خوب نیست.»
