افشای نقص‌های امنیتی در اپ پیام‌رسان جدید جک دورسی؛ Bitchat امن نیست

کارشناسان امنیت سایبری نسبت به ضعف‌های جدی Bitchat، اپ پیام‌رسان جدید جک دورسی هشدار دادند و خود دورسی نیز اذعان کرده که امنیت این نرم‌افزار هنوز بررسی نشده است.

به گزارش تک‌ناک، جک دورسی، هم‌بنیان‌گذار توییتر و مدیرعامل شرکت Block، روز یک‌شنبه با وعده ارائه یک پیام‌رسان «امن» و «خصوصی»، از اپلیکیشن متن‌باز جدیدی به نام Bitchat رونمایی کرد.

برخلاف پیام‌رسان‌های سنتی که به اینترنت وابسته‌ هستند، Bitchat از فناوری بلوتوث و رمزنگاری سرتاسری (End-to-End Encryption) استفاده می‌کند. این طراحی غیرمتمرکز، به‌ویژه در محیط‌هایی با خطر بالا که اینترنت قابل دسترسی یا قابل اعتماد نیست، می‌تواند مزیتی بالقوه برای حفظ امنیت ارتباطات باشد. در «وایت‌پیپر» منتشرشده از سوی دورسی درباره پروتکل‌ها و سازوکارهای حفظ حریم خصوصی این اپ، گفته شده که طراحی این سیستم بر «اولویت دادن به امنیت» استوار است.

با وجود این، ادعای امنیت بالای این اپلیکیشن، بلافاصله پس از انتشار، مورد تردید کارشناسان امنیت سایبری قرار گرفت؛ چرا که کد و عملکرد برنامه تاکنون هیچ بررسی مستقلی از منظر امنیتی نداشته است.

به دنبال این انتقادات، دورسی هشدار تازه‌ای را به صفحه پروژه در GitHub اضافه کرد:

«این نرم‌افزار تاکنون هیچ بازبینی امنیتی خارجی دریافت نکرده و ممکن است دارای آسیب‌پذیری‌هایی باشد. بنابراین، نباید از آن در محیط‌های عملیاتی استفاده کرد یا به ادعاهای امنیتی آن اعتماد کرد؛ مگر آنکه بررسی دقیقی صورت گیرد.»

این هشدار که اکنون به صفحه اصلی پروژه Bitchat در گیت‌هاب نیز اضافه شده است، در زمان عرضه اولیه این اپ پیام‌رسان وجود نداشت. همچنین دورسی از روز چهارشنبه کنار این هشدار عبارت «در دست توسعه» را اضافه کرد.

این هشدار پس از آن منتشر شد که الکس رادوسئا، پژوهشگر امنیت سایبری، در یک پست وبلاگی توضیح داد که امکان جعل هویت در این اپلیکیشن وجود دارد و مهاجمان می‌توانند کاربران را فریب دهند تا تصور کنند با فرد درست در حال گفت‌وگو هستند.

رادوسئا نوشت که Bitchat دچار ضعف جدی در سیستم «احراز و تأیید هویت» است؛ به‌ طوری‌ که مهاجم می‌تواند کلید هویتی (identity key) و شناسه همتا (peer ID pair) یک کاربر را رهگیری کند؛ مؤلفه‌هایی که قرار است اتصال امن و قابل اعتماد بین دو کاربر ایجاد کنند. این اپ کاربران تأییدشده را با آیکون ستاره‌ای مشخص و از آنها با عنوان «مورد علاقه» یاد می‌کند تا کاربران بدانند با همان فرد قبلی در حال گفت‌وگو هستند.

دورسی به درخواست اظهارنظر TechCrunch که به ایمیل شرکت Block ارسال شده بود، پاسخی نداد.

رادوسئا روز دوشنبه، گزارشی درباره این آسیب‌پذیری در سیستم “Favorites” اپ را در گیت‌هاب ثبت کرد. دورسی ابتدا بدون توضیح آن را به‌عنوان «انجام‌شده» علامت زد، اما روز چهارشنبه مجدد آن را باز و اعلام کرد که مسائل امنیتی را می‌توان به صورت مستقیم از طریق گیت‌هاب گزارش داد.

در همین حال، فردی دیگر نسبت به ادعای دورسی درباره وجود «رمزنگاری پیش‌نگر» (Forward Secrecy) در اپ پیام‌رسان Bitchat ابراز تردید کرد؛ ویژگی‌ که تضمین می‌کند حتی اگر کلید رمزنگاری به‌دست مهاجم بیفتد، پیام‌های قبلی همچنان غیرقابل خواندن باقی بمانند.

کاربر دیگری نیز به احتمال وجود یک باگ سرریز بافر (Buffer Overflow) اشاره کرد؛ نوعی آسیب‌پذیری رایج که می‌تواند به مهاجمان امکان دهد حافظه دستگاه را دستکاری و داده‌ها را سرقت کنند.

رادوسئا هشدار داد که کاربران فعلاً نباید به امنیت این اپلیکیشن اعتماد کنند. او به TechCrunch گفت: «امنیت یک ویژگی عالی برای ویروسی شدن یک اپلیکیشن است، اما انجام یک بررسی ابتدایی — مثلاً اینکه آیا کلیدهای هویتی واقعاً کار رمزنگاری انجام می‌دهند یا نه — یکی از اولین قدم‌های ضروری در ساخت چنین برنامه‌ای است. بعضی‌ها ممکن است پیام‌های تبلیغاتی درباره امنیت را جدی بگیرند و برای حفاظت از خود به آن اعتماد کنند؛ در نتیجه در وضعیت فعلی، این پروژه می‌تواند آنها را به خطر بیندازد.»

رادوسئا در انتها با اشاره به یافته‌های خود و دیگران، نسبت به هشدار فعلی دورسی که می‌گوید اپ پیام‌رسان Bitchat بررسی امنیتی نشده است، انتقاد کرد و گفت:

«من فکر می‌کنم این اپلیکیشن حالا بررسی امنیتی خارجی را دریافت کرده است و نتایج آن اصلاً خوب نیست.»

نوشته افشای نقص‌های امنیتی در اپ پیام‌رسان جدید جک دورسی؛ Bitchat امن نیست اولین بار در تک ناک - اخبار تکنولوژی روز جهان و ایران. پدیدار شد.