Джек Дорси утверждает, что его «защищенное» новое приложение Bitchat не проходило тестирование на безопасность.

Анонимный источник сообщает о публикации отчета TechCrunch: в воскресенье генеральный директор Block и соучредитель Twitter Джек Дорси (Jack Dorsey) запустил приложение для обмена сообщениями с открытым исходным кодом под названием Bitchat, пообещав обеспечить "безопасную" и "приватную" связь без централизованной инфраструктуры. Приложение использует Bluetooth и сквозное шифрование, в отличие от традиционных мессенджеров, полагающихся на интернет. Благодаря децентрализации, Bitchat обладает потенциалом для безопасного использования в средах повышенного риска, где интернет подвергается мониторингу или недоступен. Согласно техническому документу (white paper) Дорси, описывающему протоколы и механизмы обеспечения приватности приложения, система Bitchat "приоритезирует" безопасность.

Однако заявления о безопасности приложения уже подвергаются критике со стороны экспертов по безопасности, поскольку само приложение и его код не прошли никакого анализа или тестирования на наличие уязвимостей – как признал сам Дорси. После запуска Дорси добавил предупреждение на страницу Bitchat на GitHub: "Данное программное обеспечение не проходило внешней проверки безопасности и может содержать уязвимости, а также не обязательно соответствует заявленным целям безопасности. Не используйте его в производственной среде и не полагайтесь на его безопасность, пока оно не будет проверено". Это предупреждение также появилось на главной странице проекта Bitchat на GitHub, но отсутствовало на момент дебюта приложения.

По состоянию на среду, Дорси добавил пометку "В разработке" рядом с предупреждением на GitHub. Это последнее предупреждение последовало за тем, как исследователь безопасности Алекс Радочеа (Alex Radocea) обнаружил, что можно выдать себя за другого пользователя и обмануть контакты, заставив их поверить, что они общаются с законным адресатом. Радочеа написал, что в Bitchat имеется "некорректная система аутентификации/верификации личности", позволяющая злоумышленнику перехватить "ключ личности" и "пару peer id" пользователя – по сути, цифровое рукопожатие, предназначенное для установления доверенного соединения между двумя пользователями приложения. В Bitchat эти контакты называются "Избранными" и обозначаются значком звезды. Целью этой функции является обеспечение возможности взаимодействия двух пользователей Bitchat, уверенных в том, что они общаются с тем же человеком, с которым общались ранее.