Jack Dorsey’in yeni mesajlaşma uygulaması Bitchat, internet bağlantısına gerek duymadan Bluetooth üzerinden iletişim kurabiliyor. Açık kaynaklı yapısı ve uçtan uca şifreleme sunmasıyla dikkat çeken bu uygulama, merkeziyetsiz çalışmasıyla öne çıkarıldı. Dorsey, sistemin güvenliğini vurgulayan bir teknik döküman da yayımlayarak uygulamanın “gizlilik öncelikli” olduğunu belirtti. Tüm bu açıklamalara rağmen, güvenlik uzmanları ciddi endişelerini dile getirmeye başladı.
Uygulamanın GitHub sayfasına kısa süre sonra eklenen bir not, Bitchat’in henüz herhangi bir dış güvenlik denetiminden geçmediğini ortaya koydu. Dorsey’in kendi ifadesine göre, uygulama mevcut haliyle güvenli kullanım için uygun değil. Projeyi test eden bir ekip bulunmadığı gibi, güvenlik açısından temel kontrollerin de tamamlanmadığı anlaşıldı. GitHub sayfasına eklenen uyarıda, kullanıcıların uygulamayı şimdilik yalnızca test amaçlı kullanmaları gerektiği açıkça ifade edildi.
Bitchat kimlik doğrulamada başarısız kalan bir sistem üzerine kurulu
Bu durumun üzerine güvenlik araştırmacısı Alex Radocea’nın paylaştığı bulgular, sistemin temel bileşenlerinin zayıflığını gözler önüne serdi. Radocea, Bitchat’in kimlik doğrulama mekanizmasında büyük bir açık olduğunu belirtti. Favori kişi sistemi üzerinden gerçekleştirilen dijital tanıma işlemi, kötü niyetli kişilerin başkasının kimliğine bürünerek iletişim kurmasına olanak tanıyabiliyor. Bu açık, uygulamanın güvenli iletişim kurma amacını doğrudan boşa çıkaran bir zafiyet.
Radocea, bu güvenlik sorununu GitHub üzerinden bildirerek konuyla ilgilenen geliştiricilere ulaşmak istedi. Ancak Dorsey, açılan bildirimi herhangi bir açıklama yapmadan “tamamlandı” olarak işaretledi. Daha sonra bildirimi tekrar açarak güvenlik sorunlarının doğrudan GitHub üzerinden bildirilebileceğini duyurdu. Bu gelişme, şeffaflık açısından ciddi soru işaretleri doğurdu.
Tüm bunların yanında, Bitchat’in ileri gizlilik (forward secrecy) sunduğu iddiası da sorgulandı. İleri gizlilik, geçmiş mesajların şifresinin gelecekte ele geçirilememesini sağlar. Ne var ki, bazı uzmanlar bu özelliğin uygulamada tam anlamıyla çalışmadığını ifade etti. Bunun gibi iddiaların, gerçek kriptografik altyapılarla desteklenmemesi güvenlik camiasında endişe yarattı.
Ek olarak, bir başka kullanıcı olası bir “buffer overflow” yani bellek taşması sorununa dikkat çekti. Bu tür bir hata, uygulamanın belleğini sızdırılabilir hale getirerek verilerin başka kullanıcılara aktarılmasına neden olabilir. Bu da saldırganlara hem uygulama hem de cihaz üzerinde kontrol sağlama ihtimali doğurur. Böylesine temel açıkların test edilmeden uygulamanın paylaşılması, yazılım geliştirme süreci açısından da ciddi bir problem teşkil ediyor.
Radocea, güvenlik iddialarının viral olmak için yeterli olduğunu fakat uygulamanın gerçek anlamda güvenli olup olmadığını test etmenin çok daha önemli olduğunu söyledi. Bu tarz uygulamalara güvenip kullanan kişilerin gerçek tehlikelerle karşı karşıya kalabileceğini belirtti. Dorsey’in “güvenlik vaat eden fakat test edilmemiş” uygulamasının, yüksek riskli bölgelerdeki kullanıcılar için tehdit oluşturabileceği vurgulandı. Bu nedenle uygulamanın bu haliyle kullanıma sunulması birçok uzman tarafından etik bulunmuyor.
