Співзасновник Twitter і глава Block Джек Дорсі раніше представив «приватний» і «безпечний» Bitchat, який іронічно виявився критично вразливий.

Основна фішка застосунка з відкритим кодом — децентралізація, Bluetooth-обмін повідомленнями без доступу до Інтернету та наскрізне шифрування. Дорсі казав, що Bitchat має бути особливо корисний там, де немає або обмежено інтернет — місця стихійних лих, протести тощо. Але вже через кілька днів після запуску сам Дорсі змушений був повідомити на GitHub про проблеми.

Експерт із безпеки Алекс Радоча виявив серйозну вразливість: у чаті зловмисник може легко прикинутися іншим користувачем. Він показав приклад, де фейковий «Боб» спілкується з «Алісою», але застосунок Bitchat не попереджає її про підміну особи. Причина — недопрацьована система «Вибраних» контактів. Зірочка біля імені не гарантує справжність без криптографічного підтвердження.

Також користувачі знайшли ще одну проблему — можливе переповнення буфера та неправдиві заяви про «пряму секретність» (це функція, яка має захищати старі повідомлення, якщо ключі скомпрометовані). Він повідомив про це через GitHub, але спочатку Дорсі закрив запит без відповіді. Пізніше розробник написав: «Робота триває». Тепер звіти про такі вразливості приймаються напряму через GitHub.

Якщо дивитися ширше, то Bitchat на сьогодні просто експериментальний проєкт. Хоча його представляли «приватним» і «безпечним» — по факту таким його називати зарано. Особливо, якщо уявити ситуацію, де месенджер дійсно використовують під час протестів, але сторона, проти якої вийшли на мітинг, зламує систему та дезінформує натовп. Тому наразі Bitchat викликає більше питань і загрожує ризиками, ніж відповідає заявленим цілям.

Джерело: GitHub