傑克·多爾西表示他的新聊天應用Bitchat雖然‘安全’，但尚未進行安全測試

推特公司和Square公司的聯合創始人兼首席執行官傑克·多西在2021年6月4日星期五於美國佛羅裏達州邁阿密舉行的比特幣2021大會上聆聽。(圖片來源：Eva Marie Uzcategui/Bloomberg/Getty Images) | 圖片來源：Eva Marie Uzcategui/Bloomberg / Getty Images 周日，區塊首席執行官及推特聯合創始人傑克·多西推出了一款名爲Bitchat的開源聊天應用，承諾提供“安全”和“私密”的消息傳遞，且沒有集中化的基礎設施。

該應用依賴藍牙和端對端加密，與傳統的依賴互聯網的消息應用不同。由於去中心化，Bitchat 在互聯網受到監控或無法訪問的高風險環境中具有成爲安全應用的潛力。根據 Dorsey 的白皮書，詳細說明了該應用的協議和隱私機制，Bitchat 的系統設計 "優先考慮" 安全性。

然而，關於該應用程序安全性的說法已經受到安全研究人員的審查，因爲該應用程序及其代碼根本沒有經過審查或測試安全問題——根據多爾西自己的承認。

自發布以來，Dorsey 在 Bitchat 的 GitHub 頁面上添加了一條警告：“該軟件尚未經過外部安全審查，可能存在漏洞，並且不一定符合其聲明的安全目標。請勿用於生產環境，且在經過審查之前，請勿依賴其安全性。”

此警告現在也出現在Bitchat的主要GitHub項目頁面上，但在應用程序首次發布時並不存在。

截至星期三，多爾西在GitHub上的警告旁邊添加了：“正在進行中”。

這份最新的免責聲明是在安全研究員亞歷克斯·羅多西亞發現可以冒充他人，並欺騙一個人的聯繫人認爲他們在與合法聯繫人交談之後發布的，正如這位研究員在一篇博客文章中所解釋的。

Rodocea寫道，Bitchat有一個“身分認證/驗證”系統存在“漏洞”，這允許攻擊者攔截某人的“身分密鑰”和“對等ID對”——本質上是一個數字握手，應該在使用該應用的兩個人之間建立一個可信的連接。Bitchat將這些稱爲“收藏夾”聯繫人，並用星形圖標標記它們。此功能的目標是允許兩個Bitchat用戶互動，知道他們正在與之前交談的同一個人交談。

多爾西沒有回應TechCrunch發往其Block電子郵件地址的評論請求。

一張截圖顯示了一個聊天的例子，其中攻擊者在與“Alice”的聊天中冒充“Bob”，Bitchat讓人感覺這真的來自Bob。 (圖片：Alex Rodocea) 周一，Radocea在GitHub項目上提交了一個工單，詢問如何報告他在Bitchat收藏系統中發現的安全漏洞。 不久之後，Dorsey將其標記爲“已完成”，沒有發表評論。 (Dorsey在周三重新打開了工單，表示安全問題可以通過直接在GitHub上發布來報告。)

另一位人士對多爾西聲稱Bitchat具有“前向保密”表示擔憂，這是一種加密技術，確保即使攻擊者竊取或破壞了加密密鑰，該攻擊者仍然無法解密以前發送的消息。

故事繼續有人還指出了一個潛在的緩衝區溢出漏洞，這是一種常見的安全漏洞類型，黑客可以迫使設備的內存溢出到其他位置，從而爲數據泄露打開了大門。

Radocea警告Bitchat用戶暫時不要信任該應用。

“安全是一個很好的功能，可以讓項目迅速傳播。但在構建這樣的項目時，像身分密鑰是否真的進行任何加密這樣的基本合理性檢查，將是一個非常明顯的測試。”Radocea對TechCrunch表示。“有些人可能會字面上理解關於安全的消息，並可能依賴它來保護自己，因此該項目目前的狀態可能會危及他們。”

Radocea批評了Dorsey關於Bitchat尚未經過安全測試的警告，提到了他和其他人的研究發現。

“我認爲它已經接受了外部安全審查，但結果不太理想，”他說。

查看評論