جاك دورسي يكشف عن تطبيق Bitchat الجديد لكن بدون اختبار أمان

في يوم الأحد، أطلق جاك دورسي، الرئيس التنفيذي لشركة Block ومؤسس تويتر، تطبيق دردشة مفتوح المصدر يسمى Bitchat، حيث وعد بتقديم رسائل "آمنة" و"خاصة" بدون بنية تحتية مركزية.

يعتمد التطبيق على البلوتوث والتشفير من طرف إلى طرف، على عكس تطبيقات المراسلة التقليدية التي تعتمد على الإنترنت. من خلال كونه لامركزياً، يمتلك Bitchat القدرة على أن يكون تطبيقاً آمناً في البيئات عالية المخاطر حيث يتم مراقبة الإنترنت أو عدم الوصول إليه. وفقاً لورقة دورسي البيضاء التي توضح بروتوكولات التطبيق وآليات الخصوصية، فإن تصميم نظام Bitchat "يضع الأمن في المقام الأول".

ومع ذلك، فإن الادعاءات بأن التطبيق آمن تواجه تدقيقاً من قبل الباحثين في مجال الأمن، نظراً لأن التطبيق ورمزه لم يتم مراجعتهم أو اختبارهم لمشاكل الأمان على الإطلاق - حسب اعتراف دورسي نفسه.

منذ الإطلاق، أضاف دورسي تحذيراً إلى صفحة GitHub الخاصة بـ Bitchat: "لم يتلق هذا البرنامج مراجعة أمان خارجية وقد يحتوي على ثغرات ولا يفي بالضرورة بأهداف الأمان المعلنة. لا تستخدمه للاستخدام الإنتاجي، ولا تعتمد على أمانه بأي شكل من الأشكال حتى يتم مراجعته."

هذا التحذير يظهر الآن أيضاً على الصفحة الرئيسية لمشروع Bitchat على GitHub ولكنه لم يكن موجوداً في وقت ظهور التطبيق.

في يوم الأربعاء، أضاف دورسي: "عمل قيد التقدم" بجانب التحذير على GitHub.

جاء هذا التنبيه الأخير بعد أن اكتشف الباحث الأمني أليكس رادوcea أنه من الممكن انتحال شخصية شخص آخر وخداع جهات اتصال الشخص للاعتقاد بأنهم يتحدثون إلى جهة الاتصال الشرعية، كما أوضح الباحث في منشور مدونة.

لقطة شاشة تظهر مثالاً على دردشة حيث انتحل مهاجم شخصية "بوب" في دردشة مع "أليس"، مما جعل Bitchat يبدو وكأنها تأتي حقاً من بوب.حقوق الصورة: أليكس رادوcea

كتب رادوcea أن Bitchat لديه نظام "تحقق/مصادقة هوية معطل" يسمح للمهاجم بالتقاط "مفتاح الهوية" و"زوج المعرف" لشخص ما - وهو عبارة عن مصافحة رقمية من المفترض أن تؤسس اتصالاً موثوقاً بين شخصين يستخدمان التطبيق. تسمي Bitchat هؤلاء "المفضلين" وتضع لهم أيقونة نجمة. الهدف من هذه الميزة هو السماح لمستخدمين Bitchat بالتفاعل، مع العلم أنهم يتحدثون إلى نفس الشخص الذي تحدثوا إليه من قبل.

لم يرد دورسي على طلب التعليق من TechCrunch المرسل إلى عنوان بريده الإلكتروني في Block.

في يوم الاثنين، قدم رادوcea تذكرة على مشروع GitHub لطلب كيفية الإبلاغ عن الثغرة الأمنية التي اكتشفها في نظام المفضلين في Bitchat. بعد ذلك بوقت قصير، قام دورسي بتمييزها على أنها "مكتملة"، بدون تعليق. (أعاد دورسي فتح التذكرة يوم الأربعاء، قائلاً إن مشكلات الأمان يمكن الإبلاغ عنها من خلال النشر على GitHub مباشرة.)

شخص آخر أبلغ عن مخاوف بشأن ادعاءات دورسي بأن Bitchat يمتلك "سرية متقدمة"، وهي تقنية تشفير تضمن أنه حتى إذا سرق المهاجم أو قام باختراق مفتاح تشفير، فلا يزال بإمكانه عدم فك تشفير الرسائل المرسلة سابقاً.

كما أشار شخص ما إلى احتمال وجود خطأ في تجاوز المخزن المؤقت، وهو نوع شائع من الثغرات الأمنية حيث يمكن لقراصنة إجبار ذاكرة جهاز ما على الانسكاب إلى مواقع أخرى، مما يفتح الباب لخرق البيانات.

حذر رادوcea مستخدمي Bitchat من عدم الثقة في التطبيق بعد.

"الأمان هو ميزة رائعة لتكون لديك لجعلها شائعة. لكن اختبار بسيط، مثل، هل المفاتيح الهوية تقوم بأي تشفير، سيكون شيئاً واضحاً جداً لاختباره عند بناء شيء مثل هذا"، قال رادوcea لـ TechCrunch. "هناك أشخاص هناك سيأخذون الرسائل حول الأمان حرفياً ويمكن أن يعتمدوا عليها لسلامتهم، لذا فإن المشروع في حالته الحالية قد يعرضهم للخطر."

مشيراً إلى اكتشافاته واكتشافات الآخرين، انتقد رادوcea تحذير دورسي بأن Bitchat لم يتم اختباره للأمان.

"أود أن أقول إنه قد تلقى مراجعة أمان خارجية، وليس الأمر جيداً"، قال.