Недавно запущенный мессенджер XChat от социальной сети X подвергся критике со стороны экспертов. Специалисты из группы Mysk проанализировали систему защиты приложения и сделали вывод о ненадежности заявленного сквозного шифрования.
Разработчики XChat используют протокол Juicebox для защиты приватных ключей. Указанный алгоритм разделяет ключ на фрагменты и распределяет их по независимым серверам. Для доступа к переписке пользователю требуется задать 4-значный пин-код. Предполагается, что любой отдельный сервер не может самостоятельно собрать данные воедино. Однако специалисты выяснили слабое место подобной архитектуры.
Анализ сетевого трафика показал, что абсолютно все серверы контролируются самой компанией X. В опубликованном отчете наглядно видно обращение мобильного клиента к 3 доменам x.com с использованием 1 общего сертификата безопасности. Проблему усугубляет отсутствие жесткой привязки сертификата в коде программы. Это позволяет перехватывать и расшифровывать информацию.
По мнению экспертов, сами разработчики имеют техническую возможность восстановить ключи и получить доступ к личным текстам. Официальные лица пока не предоставили комментариев по данной проблеме, а возмущение профильного сообщества продолжает расти.