El domingo, el CEO y cofundador de Twitter, Jack Dorsey, lanzó una aplicación de chat de código abierto llamada Bitchat, se comprometió a proporcionar mensajes «seguros» y «privados» sin una infraestructura centralizada.
A diferencia de las aplicaciones de mensajería tradicionales que se basan en Internet, esta aplicación se basa en Bluetooth y el cifrado de extremo a extremo. Al ser descentralizado, Bitchat podría convertirse en una aplicación segura en un entorno de alto riesgo donde Internet es incapaz de ser monitoreado o accedido. Según el documento blanco de Dorsey que detalla los protocolos de aplicaciones y los mecanismos de privacidad, el diseño del sistema de Bitchat «prioriza» la seguridad.
Sin embargo, dado que la aplicación y su código no han sido revisados o probados para cuestiones de seguridad, la afirmación de que la aplicación ya está segura ya se ha enfrentado al escrutinio de los investigadores de seguridad, dado que no ha sido revisada o probada para obtener problemas de seguridad en absoluto por la propia admisión de Dorsey.
Desde su lanzamiento, Dorsey ha agregado advertencias a la página Github de Bitchat. «Este software no ha recibido revisiones de seguridad externas, puede contener vulnerabilidades y no necesariamente cumple con los objetivos de seguridad establecidos. No debe usarse para el uso de producción.
Esta advertencia también es visible en la página principal del proyecto GitHub de Bitchat, pero en ese momento no fue en ese momento la aplicación.
Hasta el miércoles, Dorsey agregó:
Este último descargo de responsabilidad se produce después de que los investigadores descubrieron que el investigador de seguridad Alex Rodosia puede ser hacerse hacerse pasar por otra persona y hacerles pensar que está hablando con un contacto legítimo, como explicaron los investigadores en una publicación de blog.
Rodocea escribe que Bitchat tiene un sistema de «autenticación/verificación» de identidad que permite a los atacantes interceptar la «clave de identificación» de alguien y el «par de identificación de pares». Este es un apretón de manos digital que esencialmente se supone que usa una aplicación para establecer una conexión confiable entre ustedes dos. Bitchat llama a estos contactos «favoritos» y los marca con un icono de estrella. El objetivo de esta característica es permitir que dos usuarios de Bitchat interactúen.
Dorsey no respondió a las solicitudes de TechCrunch de comentarios enviados a la dirección de correo electrónico de bloque.
El lunes, Radocea presentó un boleto al proyecto GitHub y preguntó cómo informar una falla de seguridad que descubrió en el sistema favorito de Bitter. Poco después, Dorsey lo marcó «completado» sin comentarios. (Dorsey reabrió boletos el miércoles, diciendo que se pueden informar problemas de seguridad publicando directamente a Github).
Otra preocupación informada sobre la afirmación de Dorsey de que Bitchat tiene «escena hacia adelante», una tecnología de cifrado que asegura que incluso si un atacante roba o compromete la clave de cifrado, no puede descifrar mensajes que el atacante se centre anteriormente.
Alguien señaló un posible error de desbordamiento del búfer. Este es un tipo común de vulnerabilidad de seguridad que permite a los piratas informáticos barrer la memoria del dispositivo en otro lugar y abrir la puerta para comprometer los datos.
Radocea advirtió que los usuarios de Bitchat aún no deberían confiar en la aplicación.
«La seguridad es una gran característica para volverse viral. Pero al igual que las claves de identidad en realidad hacen cifrado, las verificaciones básicas de cordura son muy obvias para probar al construir algo como esto», dijo Radsea a TechCrunch. «Hay personas que literalmente pueden adoptar la seguridad y confiar en ella para su seguridad, para que los proyectos estatales actuales puedan ponerlos en riesgo».
Refiriéndose a los hallazgos de sus y otros, Radosia criticó la advertencia de Dorsey de que Vichat no ha sido probado por seguridad.
«Argumentaría que tenía una revisión de seguridad externa, pero no se ve bien», dijo.
Source link
