No passado domingo, Jack Dorsey, o conhecido co-fundador do Twitter, lançou uma nova aplicação de chat de código aberto chamada Bitchat. A promessa era ambiciosa: oferecer um sistema de mensagens "seguro" e "privado", funcionando sem uma infraestrutura centralizada e dependendo de Bluetooth e encriptação ponta-a-ponta, em vez da internet tradicional.
A natureza descentralizada da Bitchat posicionava-a como uma ferramenta potencialmente segura para ambientes de alto risco, onde o acesso à internet é vigiado ou inexistente. De acordo com o white paper do projeto, o design do sistema "prioriza" a segurança. No entanto, esta promessa de segurança começou a ruir quase de imediato.
A promessa de segurança... com um grande "mas"
As alegações de segurança da Bitchat foram rapidamente postas em causa por investigadores, um escrutínio agravado pela própria admissão de Dorsey: a aplicação e o seu código não foram submetidos a qualquer revisão ou teste de segurança externo.
Após o lançamento, Dorsey viu-se forçado a adicionar um aviso na página do projeto no GitHub: "Este software não recebeu uma revisão de segurança externa e pode conter vulnerabilidades, não cumprindo necessariamente os seus objetivos de segurança declarados. Não o utilize para produção e não confie na sua segurança de forma alguma até que seja revisto." Mais tarde, a frase "Trabalho em progresso" foi acrescentada ao lado do aviso.
Investigadores encontram falhas críticas
Este passo atrás surgiu depois de o investigador de segurança Alex Radocea ter descoberto uma falha grave. Conforme explicou numa publicação no seu blog, é possível fazer-se passar por outra pessoa na Bitchat, enganando os contactos de um utilizador a pensar que estão a falar com a pessoa legítima.
Radocea detalhou que a aplicação tem um "sistema de autenticação/verificação de identidade quebrado". Um atacante pode intercetar a "chave de identidade" e o "peer id pair" de um utilizador – um aperto de mão digital que deveria estabelecer uma ligação de confiança. Esta vulnerabilidade afeta diretamente a funcionalidade de contactos "Favoritos", que supostamente garantiria que os utilizadores estariam sempre a comunicar com a mesma pessoa.
Quando Radocea tentou reportar a falha no GitHub, Dorsey inicialmente marcou o problema como "concluído" sem qualquer comentário, embora tenha reaberto o tópico mais tarde. Além desta, foram levantadas outras preocupações, como a implementação falível da "forward secrecy" (uma técnica que protege mensagens passadas caso uma chave de encriptação seja roubada) e um potencial bug de buffer overflow, uma vulnerabilidade comum que pode levar à exposição de dados.
"Não é um bom começo"
Os utilizadores são aconselhados a não confiar na aplicação no seu estado atual. "A segurança é uma ótima funcionalidade para se tornar viral. Mas uma verificação básica, como saber se as chaves de identidade realmente executam alguma criptografia, seria algo óbvio a testar", afirmou Radocea em declarações à TechCrunch.
O investigador criticou a abordagem de Dorsey, salientando o perigo de promover uma ferramenta como segura sem a devida verificação. "Existem pessoas que podem levar a mensagem de segurança à letra e confiar nela para a sua proteção, pelo que o projeto no seu estado atual pode colocá-las em perigo."
Referindo-se às suas descobertas e às de outros, Radocea concluiu de forma contundente sobre o aviso de Dorsey de que a app não foi testada: "Eu diria que já recebeu uma revisão de segurança externa, e os resultados não são nada bons." Jack Dorsey não respondeu a um pedido de comentário enviado pela TechCrunch.
Nenhum comentário
Seja o primeiro!