Twitter'ın kurucu ortağı ve Block'un CEO'su Jack Dorsey, kısa süre önce "güvenli" ve "özel" merkeziyetsiz iletişim vaat eden açık kaynaklı mesajlaşma uygulaması Bitchat'i piyasaya sürdü. Ancak uygulama, Dorsey'nin kendisi tarafından herhangi bir güvenlik incelemesi veya testinden geçmediğinin itiraf edilmesinin ardından güvenlik araştırmacılarının hemen dikkatini çekti.
Geleneksel internet bağımlı mesajlaşma platformlarının aksine, Bitchat Bluetooth üzerinden çalışır ve uçtan uca şifreleme kullanır. Merkeziyetsiz mimarisi, özellikle internet erişiminin kısıtlı veya izlendiği yüksek riskli ortamlarda güvenli iletişim sunmak üzere tasarlandı. Dorsey'nin Bitchat için hazırladığı teknik inceleme belgesi uygulamanın sistem tasarımının güvenlik ve gizliliğe "öncelik verdiğini" vurguluyor.
Piyasaya sürülmesinden kısa bir süre sonra Dorsey, Bitchat'in GitHub sayfasını keskin bir uyarıyla güncelledi: "Bu yazılım harici güvenlik incelemesinden geçmemiştir ve güvenlik açıkları içerebilir, ayrıca belirtilen güvenlik hedeflerini karşılamayabilir. Üretim amaçlı kullanmayın ve incelenene kadar güvenliğine hiçbir şekilde güvenmeyin." Başlangıçta bulunmayan bu kritik uyarı, artık uygulamanın ana proje sayfasında belirgin bir şekilde yer alıyor. Çarşamba gününe gelindiğinde Dorsey, uyarıya ek olarak "Geliştirme aşamasında" ifadesini de ekledi.
Bu uyarıların eklenmesi, kimlik taklidini mümkün kılan kritik bir kusuru detaylandıran güvenlik araştırmacısı Alex Rodocea'nın ifşaatlarının ardından geldi. Rodocea, Bitchat'in "bozuk kimlik doğrulama/onaylama" sisteminin bir saldırganın kullanıcının "kimlik anahtarını" ve "eş kimliği çiftini" ele geçirmesine izin verdiğini keşfetti. Bu güvenlik açığı, uygulamanın "Favori" kişiler özelliğini zayıflatıyor; bu özellik, kullanıcıların daha önce etkileşimde bulundukları doğrulanmış kişilerle iletişim kurmasını sağlamak üzere tasarlanmış olup, bir yıldız simgesiyle işaretlenir.
TechCrunch'ın Dorsey'nin Block e-posta adresine yaptığı yorum talebi yanıtsız kaldı. Rodocea başlangıçta Pazartesi günü güvenlik açığını bildirme konusunda rehberlik arayan bir GitHub bileti açtı. Dorsey, bileti yorum yapmadan derhal "tamamlandı" olarak işaretledi, ancak daha sonra Çarşamba günü yeniden açarak güvenlik sorunlarının doğrudan GitHub üzerinden bildirilebileceğini tavsiye etti.
Rodocea'nın bulgularının ötesinde, diğer kullanıcılar Bitchat'in iddia edilen "ileri gizlilik" özelliği hakkında endişelerini dile getirdi; bu, şifreleme anahtarları ele geçirilse bile geçmiş mesajların şifresinin çözülmesini önlemeyi amaçlayan bir kriptograf