杰克·多尔西承认其"安全"新应用 Bitchat 尚未通过安全测试

周日，Block 公司 CEO 兼 Twitter 联合创始人杰克·多尔西推出了一款名为 Bitchat 的开源聊天应用 ， 承诺在无需中心化基础设施的情况下提供"安全"和"私密"的通讯服务。

与传统依赖互联网的通讯应用不同，该应用依托蓝牙技术和端到端加密。通过去中心化设计，Bitchat 在互联网受监控或无法接入的高风险环境中具备成为安全应用的潜力。根据多尔西详细说明应用协议和隐私机制的白皮书 ，Bitchat 的系统设计"优先考虑"安全性。 

然而关于该应用安全性的声明已受到安全研究人员的质疑——多尔西本人承认，该应用及其代码尚未经过任何安全问题的审查或测试。

发布后，多尔西在 Bitchat 的 GitHub 页面上添加了警告 ："本软件未经外部安全审查，可能包含漏洞，未必能达到声明的安全目标。请勿用于生产环境，在通过安全审查前切勿依赖其安全性。" 

这一警告现已出现在 Bitchat 的 GitHub 项目主页上，但该应用发布时并未显示此提示。

截至周三，多尔西在 GitHub 的警告旁补充道："开发中"。

最新免责声明的出现，源于安全研究员亚历克斯·罗多西亚发现该应用存在冒充他人欺骗联系人身份的可能性—— 正如研究者在博客文章中所解释的 ，攻击者可让用户误以为正在与真实联系人对话。

罗多西亚指出，Bitchat 的"身份认证/验证系统存在缺陷"，攻击者能截获用户的"身份密钥"和"对等 ID 配对"——这本应是建立应用内可信连接的数字握手协议。该应用将这类联系人标记为"收藏"并显示星标图标，其设计初衷是让用户能确认对话对象与此前一致。

多尔西没有回应 TechCrunch 发送至其 Block 邮箱的置评请求。

周一，罗多恰在 GitHub 项目页提交工单，询问如何上报他在 Bitchat 收藏夹系统中发现的安全漏洞。随后多尔西未作说明就将该工单标记为"已完成"。（周三多尔西重新开启该工单，表示可直接在 GitHub 上提交安全问题。）

另有用户对多尔西宣称 Bitchat 具备"前向保密性"提出质疑，该加密技术能确保即使攻击者窃取或破坏加密密钥，仍无法解密先前发送的消息。

有人还指出可能存在缓冲区溢出漏洞，这是一种常见的安全漏洞，黑客可利用此漏洞迫使设备内存溢出到其他位置，从而为数据泄露打开大门。

拉多切亚警告称，Bitchat 用户目前还不应信任这款应用。

"安全性是产品走红的重要特性。但像'身份密钥是否真的执行了加密'这种基本检查，在开发此类应用时本应是最基础的测试项，"拉多切亚告诉 TechCrunch，"有些用户会真的相信宣传中的安全承诺，并依赖它来保障自身安全，因此当前版本的项目可能会让他们处于危险之中。"

拉多切亚援引自己及他人的发现，批评多尔西关于 Bitchat 未经安全测试的警告。

"我认为它已经接受了外部安全审查，但结果并不乐观，"他说道。