X平台上的XChat加密功能仍然不安全

雅加达 - X,以前被称为Twitter,最近发布了一项名为XChat的加密消息功能。虽然它被声称是加密的,但它被证明是未安全的,也不完全可靠。

端到端消息加密 应该 保持用户消息的安全, 并且 无法 任何人访问。然而,加密专家的研究结果表明,这种加密的实施比Signal应用程序要差得多。

TechCrunch推出时,专家们强调了一些被认为是关键的弱点,并使消息保密度更容易暴露。其中一个弱点是用户的私密钥匙保留。

X 要求用户创建一个四位数PIN来加密私密钥,然后将其存储在 X 服务器上。这与在用户设备上存储私密钥的信号不同。

安全研究员Matthew Garrett表示,如果X不使用硬件安全模块(HSM),该公司可能会操纵钥匙。由于PIN只有四位数,因此此钥匙有可能被迫访问。

到目前为止,X尚未提供HSM使用的证据。另一个致命的弱点取自X的声明,即“有邪恶意图或X本人”可能会危及对话。这引发了潜在的中等对手(AITM)攻击。

也就是说,第三方可以偷看对话。Garrett补充说,每次有通信时,X都可以创建一个新钥匙。这使得用户无法确认他们的加密是否真的免受X方的侵害。

最后,XChat 没有完美的前置秘密功能,这是使用不同键加密每个消息的机制。如果用户的个人密钥被成功闯入,则所有旧消息都可以加密。X也承认了这一缺点。