ツイッター共同創業者であり、Block社のCEOであるジャック・ドーシー氏は、オープンソースのチャットアプリ「Bitchat」を発表しました。このアプリは、中央集権的なインフラを使用せずに「安全」かつ「プライバシーを守る」メッセージングを提供することを目指しています。
このアプリは、従来のインターネットに依存せず、Bluetoothとエンドツーエンドの暗号化を利用しています。分散型であるため、インターネットが監視されているかアクセスできない高リスク環境での安全性が期待されています。ドーシー氏のホワイトペーパーによれば、Bitchatのシステム設計はセキュリティを「優先」しているということです。
しかし、アプリのセキュリティが確保されているという主張は、セキュリティ研究者から疑問視されています。ドーシー氏自身も、アプリとそのコードがセキュリティ問題についてレビューやテストを受けていないことを認めています。
アプリの公開以降、ドーシー氏はBitchatのGitHubページに警告を追加しました。「このソフトウェアは外部のセキュリティレビューを受けておらず、脆弱性を含む可能性があり、掲げられたセキュリティ目標を必ずしも満たしていません。実運用での使用やセキュリティへの依存は避けてください」としています。
この警告は現在BitchatのGitHubプロジェクトページにも表示されていますが、アプリのデビュー時にはありませんでした。水曜日には、ドーシー氏が警告の隣に「作業中」と追加しました。
この最新の免責事項は、セキュリティ研究者のアレックス・ラドシア氏が、他人になりすまして連絡先を騙すことが可能であると指摘した後に追加されました。ラドシア氏はブログで、Bitchatの「アイデンティティ認証/検証」システムに欠陥があり、攻撃者が「アイデンティティキー」や「ピアIDペア」を傍受できると述べています。これらは、本来アプリを使用する2人の間で信頼された接続を確立するためのデジタルハンドシェイクです。
ドーシー氏は、TechCrunchのコメント要請に応じていません。
ラドシア氏は、Bitchatユーザーがアプリを信頼すべきではないと警告しています。「セキュリティはウイルス的な広がりを持つための素晴らしい機能ですが、アイデンティティキーが実際に暗号化を行っているかどうかの基本的なチェックは、このようなものを作る際に非常に明白なことです」と述べています。
ラドシア氏は、ドーシー氏の警告に対し、「外部のセキュリティレビューを受けたと言えるが、良い結果ではない」と批判しています。