متابعة – أمل علوي
في يوم الأحد ، أطلق جاك دورسي الرئيس التنفيذي لشركة بلوك ومؤسس Twitter تطبيق دردشة مفتوح المصدر يسمى Bitchat ، واعد لتقديم الرسائل “الآمنة” و “الخاصة” دون بنية تحتية مركزية.
يعتمد التطبيق على تشفير البلوتوث والتشفير من طرف إلى طرف ، على عكس تطبيقات الرسائل التقليدية التي تعتمد على الإنترنت. من خلال عدم مركزية ، يتمتع Bitchat بإمكانية أن تكون تطبيقًا آمنًا في بيئات عالية الخطورة حيث يتم مراقبة الإنترنت أو لا يمكن الوصول إليها. حسب دورسي ورقة بيضاء بالتفصيل ببروتوكولات التطبيق وآليات الخصوصية ، تصميم نظام Bitchat “يعطي الأولوية”.
لكن الادعاءات بأن التطبيق آمن ، ومع ذلك ، يواجه بالفعل التدقيق من قبل باحثين الأمن ، بالنظر إلى أن التطبيق والرمز الخاص به لم يتم مراجعته أو اختباره لقضايا الأمان على الإطلاق – عن طريق قبول دورسي.
منذ إطلاقه ، Dorsey لديه وأضاف تحذير إلى صفحة GitHub الخاصة بـ Bitchat: “لم يتلق هذا البرنامج مراجعة أمنية خارجية وقد تحتوي على نقاط ضعف ولا تفي بالضرورة بأهدافها الأمنية المعلنة. لا تستخدمه للاستخدام الإنتاجي ، ولا تعتمد على أمنه على الإطلاق حتى تتم مراجعته.”
يظهر هذا التحذير الآن أيضًا على صفحة مشروع GitHub الرئيسية في Bitchat ولكن لم يكن هناك في وقت ظهور التطبيق لأول مرة.
اعتبارا من الأربعاء ، دورسي وأضاف: “العمل قيد التقدم” ، بجانب التحذير على جيثب.
جاء هذا إخلاء المسؤولية الأخير بعد أن وجد أليكس رادوس باحث الأمن أنه من الممكن انتحال شخصية شخص آخر وخداع اتصالات الشخص للاعتقاد بأنه يتحدث إلى الاتصال الشرعي ، كما أوضح الباحث في منشور مدونة.
كتب Radocea أن Bitchat لديه نظام “مصادقة/التحقق من الهوية المكسورة” يسمح للمهاجم بتعبئة “مفتاح الهوية” لشخص ما و “زوج المعرف” – في الأساس مصافحة رقمية من المفترض أن تنشئ اتصالًا موثوقًا بين شخصين يستخدمون التطبيق. يسمي Bitchat هذه الاتصالات “المفضلة” وتضعها مع أيقونة النجوم. الهدف من هذه الميزة هو السماح لمستخدمين Bitchat بالتفاعل ، مع العلم أنهم يتحدثون إلى نفس الشخص الذي تحدثوا إليه من قبل.
لم يرد دورسي على طلب TechCrunch للتعليق الذي تم إرساله إلى عنوان بريده الإلكتروني البلوك.
في يوم الاثنين ، قدم رادوسيا تذكرة في مشروع جيثب لتسأل عن كيفية الإبلاغ عن عيب الأمن الذي اكتشفه في نظام Bitchat المفضلات. بعد فترة وجيزة ، تميزت دورسي بأنها “مكتملة” ، دون تعليق. ((أعادت دورسي فتح التذكرة يوم الأربعاء ، يمكن الإبلاغ عن قول قضايا الأمن من خلال النشر على Github مباشرة.)
شخص آخر ذكرت تتعلق بالمخاوف من مزاعم دورسي بأن Bitchat لديه “سرية إلى الأمام” ، وهي تقنية تشفير تضمن أنه حتى لو سرقة المهاجم أو يضر بمفتاح تشفير ، فإن هذا المهاجم لا يزال لا يستطيع فك تشفير الرسائل التي تم إرسالها مسبقًا.
شخص ما أيضا أشار علة في التدفق المحتملة المحتملة ، وهو نوع شائع من ثغرة الأمن حيث يمكن للمتسلل أن يفرض ذاكرة الجهاز على الانسكاب إلى مواقع أخرى ، وفتح الباب للحصول على حل وسط للبيانات.
حذر Radocea من أن مستخدمي Bitchat يجب ألا يثقوا في التطبيق بعد.
وقال رادوسيا لـ TechCrunch: “يعد الأمن ميزة رائعة للذهاب في الفيروس. لكن فحص العقل الأساسي ، مثل ، يقوم مفاتيح الهوية في الواقع بأي تشفير ، سيكون شيئًا واضحًا للغاية للاختبار عند بناء شيء كهذا”. “هناك أشخاص من شأنه أن يأخذوا الرسائل حول الأمن حرفيًا ويمكن أن يعتمدوا عليها من أجل سلامتهم ، حتى يتمكن المشروع في حالته الحالية من تعرضهم للخطر”.
في إشارة إلى نتائجه وغيرهم من الأشخاص ، انتقد راديوسيا تحذير دورسي من أن Bitchat لم يتم اختباره من أجل الأمن.
وقال “أود أن أؤكد أنها تلقت مراجعة أمنية خارجية ، ولا تبدو جيدة”.
هذا المحتوي تم باستخدام أدوات الذكاء الإصطناعي
