Geçtiğimiz Pazar, Block CEO’su ve Twitter’ın kurucu ortağı Jack Dorsey, merkezi bir altyapıya ihtiyaç duymadan “güvenli” ve “özel” mesajlaşma sunmayı vaat eden açık kaynaklı bir sohbet uygulaması olan Bitchat‘ı tanıttı.
Bu uygulama, geleneksel mesajlaşma uygulamalarının interneti kullanmak yerine, Bluetooth ve uçtan uca şifreleme teknolojisine dayanıyor. Dağıtık yapısıyla Bitchat, internetin izlenebildiği ya da erişilemediği yüksek riskli ortamlarda güvenli bir uygulama olma potansiyeline sahip. Dorsey’in uygulamanın protokollerini ve gizlilik mekanizmalarını detaylandırdığı beyaz kitapta, Bitchat’ın sistem tasarımının güvenliği “önceliklendirdiği” belirtiliyor.
Ancak uygulamanın güvenli olduğu yönündeki iddialar, Dorsey’in kendi beyanıyla, uygulamanın ve kodunun güvenlik sorunları açısından hiç gözden geçirilmediği için güvenlik araştırmacılarının eleştirilerine maruz kalıyor.
Uygulamanın lansmanının ardından, Dorsey, Bitchat’ın GitHub sayfasına bir uyarı ekledi: “Bu yazılım dış güvenlik incelemesi almadı ve zayıflıklar içerebilir. Belirtilen güvenlik hedeflerine ulaşmadığı kesinlikle söylenemez. Üretim amaçlı kullanmayın ve güvenliğine kesinlikle güvenmeyin, gözden geçirilene kadar.”
Bu uyarı artık Bitchat’ın ana GitHub proje sayfasında da yer alıyor, ancak uygulama ilk tanıtıldığında mevcut değildi.
Çarşamba günü, Dorsey, GitHub’daki uyarının yanına “Çalışma aşamasında” notunu ekledi.
Bu son uyarı, güvenlik araştırmacısı Alex Rodocea‘nın, bir başkasını taklit etmenin ve bir kişinin kontaklarını, onlarla gerçekten iletişimde olduğu izlenimi vermenin mümkün olduğunu keşfetmesinin ardından geldi.
Pazartesi günü, Rodocea, Bitchat Favoriler sisteminde keşfettiği güvenlik açığını bildirmek için GitHub projesinde bir talep oluşturdu. Kısa süre sonra, Dorsey bunu “tamamlandı” olarak işaretledi, ancak yorum yapmadı.
Başka bir kişi, Dorsey’in Bitchat’in “ilerleme gizliliği” iddialarına dair endişelerini dile getirdi. Bu, bir saldırganın bir şifreleme anahtarını çalması durumunda bile önceki gönderilmiş mesajları deşifre etmesini engelleyen bir kriptografik tekniktir.
Bir başka kullanıcı, olası bir bellek taşması hatasına dikkat çekti. Bu, bir hacker’ın bir cihazın belleğinin diğer alanlara sızmasına neden olduğu yaygın bir güvenlik açığı türüdür.
Rodocea, Bitchat kullanıcılarının henüz uygulamaya güvenmemesi gerektiğini vurguladı.
“Güvenlik, viral olma potansiyeli taşıyan harika bir özelliktir. Ama, kimlik anahtarlarının gerçekten herhangi bir kriptografi yapıp yapmadığı gibi basit bir akıl kontrolü, bu tür bir şeyi inşa ederken test edilmesi gereken çok bariz bir şeydir,” dedi Rodocea. “Güvenlik hakkında yapılan mesajlarla birlikte, insanların bunu ciddiye alıp güvenliği için dayanmasına neden olabilecekleri düşünüldüğünde, projenin mevcut durumu onları tehlikeye atabilir.”
Rodocea, kendi bulgularını ve diğer kişilerin bulgularını dikkate alarak, Dorsey’in Bitchat’ın güvenlik açısından test edilmediği yönündeki uyarısını eleştirdi.
“Dış bir güvenlik incelemesi aldı ve durum iyi görünmüyor,” dedi.
-
-
-
-
