Эксперты выявили серьезные проблемы в механизмах шифрования нового XChat
Фото: freepik
На прошлой неделе социальная сеть X представила мессенджер XChat, который стал первым шагом в реализации стратегических планов компании xAI. Но вскоре после запуска исследователи обнаружили серьезные недостатки в системе криптографической защиты.
XChat применяет протокол Juicebox для обеспечения безопасности ключей, разделяя их на сегменты, хранимые на разных серверах. При этом ни один из серверов не может самостоятельно собрать все сегменты ключа.
По данным исследования команды Mysk, ключевым недостатком архитектуры XChat является то, что все серверы с фрагментами ключей принадлежат компании xAI. Использование единого сертификата безопасности, не связанного с программным кодом приложения, позволило исследователям восстановить полный ключ и получить доступ к личным сообщениям пользователей. Эксперты предполагают, что разработчики XChat также могут иметь возможность просматривать содержимое чатов.
Кроме того, исследователь mig59 показал, что PIN-код, защищающий ключи шифрования, уязвим к атакам методом перебора (brute-force). Процесс подбора PIN-кода может занять несколько часов.
