Empresa de cibersegurança lista vulnerabilidades no 'rival do WhatsApp' que não precisa de internet

Um aplicativo de mensagens criado pelo executivo que ajudou a lançar projetos como Twitter (atual X) e Bluesky passou do status de impressionante a preocupante em poucos dias. O Bitchat, projeto de Jack Dorsey, teve o uso apontado como "arriscado" após denúncias sobre vulnerabilidades.

O serviço ganhou fama após o anúncio no início do mês, em especial pelo funcionamento baseado apenas na conexão Bluetooth de um dispositivo móvel. Isso significa que ele não exige uma conexão via Wi-Fi para funcionar e também não depende de servidores únicos ou vinculação a dados como email e telefone. Essas características tornam ele não apenas leve e descentralizado, mas também ideal para uso por pessoas focadas na própria privacidade. 

• Leia também: Anatel desativa mais uma central de golpes via SMS em São Paulo; confira

A independência desses serviços a a ausência de rastreadores animou parte do público, mesmo com testes ainda limitados em participantes. Ainda não há uma previsão de lançamento da versão estável do Bitchat, que por enquanto só tem uma página do projeto no GitHub, além de links para download de um cliente para iOS e Mac ou Android.

O próprio Dorsey, porém, chegou a reconhecer que o Bitchat ainda está em fases experimentais e nem sequer passou por testes mais rigorosos de proteção digital. "Este software não recebeu nenhuma análise de segurança externa e pode conter vulnerabilidades, além de não atender necessariamente aos objetivos de segurança declarados. Não o utilize para fins de produção e não confie em sua segurança até que seja submetido a uma análise", diz o recado, já antecipando descobertas que apareceriam sobre o serviço.

Quais as vulnerabilidades do Bitchat?

• De acordo com Ben Smith, engenheiro sênior de pesquisa da Tenable, foi identificada uma "exposição de privacidade" no Bitchat. Ela envolve o identificador persistente, a chave pública acessível via Bluetooth que é um código por enquanto permanente e imutável, atribuído a um usuário e que permite a troca de mensagens;
• Segundo Smith, um agente malicioso no alcance físico do Bluetooth (até 300 metros) pode usar a chave pública para escanear e identificar o telefone de um usuário. Após registrar a presença desse identificador único, é possível rastrear os movimentos da pessoa e estabelecer padrões de comportamento dela;
• O caso é tido como grave em especial porque o próprio Bitchat foi apresentado como alternativa para usuários que não querem ser rastreados, como manifestantes e ativistas;
• Para além dessa brecha, o engenheiro não descarta que "outras falhas de segurança também podem existir" na plataforma, em especial pela falta de realização dos testes específicos;
• Em outro estudo, o pesquisador Alex Radocea também já foi capaz de fraudar o acesso de outro usuário e "roubar" a identidade de uma pessoa no aplicativo, burlando o sistema de autenticação da chave;

Qual o problema dessas brechas?

Para Smith, mesmo que o aplicativo de Dorsey ainda esteja em fase de desenvolvimento, as denúncias sobre as brechas no serviço tornam o caso "extremamente importante, especialmente para um aplicativo focado em privacidade".

Nem mesmo o aviso do executivo é bem visto, já que isso só confirma que há de fato um risco na utilização do Bitchat neste momento, especialmente se você compartilhar informações sensíveis ou estiver em um local de risco. "Aplicativos desenvolvidos por figuras públicas de destaque tendem a ganhar popularidade rapidamente, o que aumenta ainda mais o risco. Embora exista um aviso na página do projeto, ele pode ser facilmente ignorado ou passar despercebido", comenta o engenheiro.

• Saiba mais: Documentos digitais: como manter seus dados seguros?

Quer se manter informado sobre o mundo da cibersegurança, malwares e proteção digital? Acompanhe a editoria do TecMundo especializada neste assunto!