На днях Джек Дорси представил новое приложение Bitchat — «безопасное и приватное» решение для общения без интернета. По задумке, передача сообщений происходит по Bluetooth, а встроенное шифрование должно защищать от «прослушки». Однако вскоре после запуска специалисты по безопасности начали находить в ПО серьёзные уязвимости.
Приложение изначально продвигалось как безопасное, хотя на деле оно вообще не проходило внешней проверки. Позже сам Дорси добавил предупреждение на GitHub, что Bitchat не тестировалось на безопасность, может содержать ошибки, а поэтому использовать его в реальных условиях пока нельзя. Примечательно, что это сообщение появилось только после того, как исследователи начали сообщать о потенциальных опасностях.
Одну из главных уязвимостей обнаружил Алекс Радосия. Он доказал, что в Bitchat можно легко подделать чужое устройство и заставить пользователя поверить, будто он общается с кем-то из своего списка контактов. Такое недопустимо для мессенджера, который продвигается как надёжный инструмент для конфиденциальной переписки.
Эксперты также выявили другие потенциальные угрозы, включая риск переполнения буфера — распространённую уязвимость, которая может привести к утечке данных. Кроме того, заявленная поддержка «перспективной секретности» (forward secrecy) пока вызывает сомнения: пока нет подтверждений, что эта функция действительно работает. Некоторые критики прямо заявляют, что проект в текущем виде может подвергнуть пользователей опасности, если они примут обещания о безопасности за чистую монету.
Сам Дорси на жалобы почти не реагирует. Разработка приложения продолжается, но специалисты по безопасности рекомендуют не использовать Bitchat для передачи личной и конфиденциальной информации.