Block公司CEO兼Twitter联合创始人Jack Dorsey日前推出了一款名为Bitchat的开源聊天应用,号称能够通过蓝牙和端到端加密提供“安全”和“私密”的消息传递功能,且无需依赖互联网进行通讯。然而,尽管Bitchat的系统设计在其白皮书中被描述为“优先考虑”安全性,但Dorsey承认该应用程序及其代码尚未经过安全审查或测试。
安全研究员Alex Radocea在其博客中指出,Bitchat的身份验证系统存在漏洞,攻击者可以截获用户的“身份密钥”和“对等ID对”,冒充其他用户与他人的联系人进行交流。此外,其他用户也对Bitchat的“前向保密性”以及可能存在的缓冲区溢出漏洞提出了质疑。
Jack Dorsey在Github上添加了一则警告,称该软件尚未经过外部安全审查,可能存在漏洞,并建议用户不要在生产环境中使用该应用程序。Dorsey未对此发表评论。