雅加达 - X,以前被称为Twitter,最近发布了一项名为XChat的加密消息功能。虽然它被声称是加密的,但它被证明是未安全的,也不完全可靠。
端到端消息加密 应该 保持用户消息的安全, 并且 无法 任何人访问。然而,加密专家的研究结果表明,这种加密的实施比Signal应用程序要差得多。
TechCrunch推出时,专家们强调了一些被认为是关键的弱点,并使消息保密度更容易暴露。其中一个弱点是用户的私密钥匙保留。
X 要求用户创建一个四位数PIN来加密私密钥,然后将其存储在 X 服务器上。这与在用户设备上存储私密钥的信号不同。
安全研究员Matthew Garrett表示,如果X不使用硬件安全模块(HSM),该公司可能会操纵钥匙。由于PIN只有四位数,因此此钥匙有可能被迫访问。
到目前为止,X尚未提供HSM使用的证据。另一个致命的弱点取自X的声明,即“有邪恶意图或X本人”可能会危及对话。这引发了潜在的中等对手(AITM)攻击。
也就是说,第三方可以偷看对话。Garrett补充说,每次有通信时,X都可以创建一个新钥匙。这使得用户无法确认他们的加密是否真的免受X方的侵害。
最后,XChat 没有完美的前置秘密功能,这是使用不同键加密每个消息的机制。如果用户的个人密钥被成功闯入,则所有旧消息都可以加密。X也承认了这一缺点。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
