O mensageiro offline Bitchat, do fundador do Twitter, falhou no primeiro teste de segurança

O recém-lançado aplicativo de mensagens Bitchat, criado pelo CEO do Block e cofundador do Twitter, Jack Dorsey, é anunciado como uma forma de comunicação segura offline. Mas pesquisadores afirmam que o aplicativo contém vulnerabilidades críticas que podem comprometer a privacidade dos dados.

Fonte da imagem: AI

O Bitchat se posiciona como um produto seguro e privado, sem infraestrutura centralizada, utilizando apenas Bluetooth e criptografia de ponta a ponta, em vez de conexão com a internet. Na descrição técnica, Dorsey enfatizou que o sistema de mensagens foi projetado com a proteção de dados como prioridade. No entanto, nos primeiros dias, a alegação de segurança do aplicativo foi questionada, relata o TechCrunch.

O próprio Dorsey admitiu que o código do Bitchat não havia passado por uma auditoria independente e publicou um alerta sobre possíveis vulnerabilidades no GitHub. O desenvolvedor recomendou explicitamente que o aplicativo não fosse usado para correspondências importantes até que sua segurança fosse confirmada por especialistas. No entanto, esse alerta não estava presente inicialmente – ele apareceu mais tarde, e Dorsey então adicionou a nota “Trabalho em andamento”, que indica que o projeto não foi concluído.

O motivo dos ajustes foram as descobertas do pesquisador Alex Radocea, que descobriu uma vulnerabilidade crítica no sistema de identificação de usuários. Descobriu-se que um invasor poderia interceptar chaves digitais e se passar por um contato confiável marcado como “Escolhido” no Bitchat. O Radocea relatou isso por meio de um ticket no GitHub, mas Dorsey inicialmente encerrou a solicitação sem comentários e, em seguida, a reabriu, sugerindo que tais relatórios fossem publicados diretamente no repositório.

Outros especialistas também encontraram problemas. Um deles questionou a implementação da função Forward Secrecy, que supostamente protege mensagens antigas mesmo que a chave seja comprometida. Outro chamou a atenção para uma potencial vulnerabilidade de estouro de buffer, que ocorre quando um programa tenta gravar mais dados em um buffer (área de memória) do que o buffer pode acomodar. Isso permite que terceiros acessem a memória do dispositivo.

Por fim, Radoczy afirmou que a versão atual do Bitchat não está pronta para uso por aqueles que realmente confiam em comunicações seguras. Segundo ele, verificações criptográficas básicas das chaves de identificação não foram realizadas e alegações exageradas sobre segurança podem enganar os usuários. O pesquisador ironicamente observou que o aplicativo já passou por uma auditoria externa por entusiastas, e os resultados foram decepcionantes. O próprio Dorsey não respondeu ao pedido de informações do TechCrunch sobre os problemas identificados.