Apps cryptography cybersecurity encryption end-to-end encryption Ferramentas & Plataformas privacy Security Social Twitter X X Chat Lorenzo Franceschi-Bicchierai setembro 5, 2025 0 Comentários

X agora está me oferecendo bate-papo criptografado de ponta a ponta. Você provavelmente ainda não deve confiar nisso.

X, anteriormente Twitter, começou a lançar seu novo recurso de mensagens criptografado chamado “Chat” ou “Xchat”. A empresa afirma que o novo recurso de comunicação é criptografado de ponta a ponta, o que significa que as mensagens trocadas nele só podem ser lidas pelo remetente e seu receptor e, em teoria-mais ninguém, incluindo X, pode acessá-los. Especialistas em criptografia, no entanto, estão alertando que a implementação atual de criptografia de X no XCHAT não deve ser confiável. Eles estão dizendo que é muito pior que o sinal, uma tecnologia amplamente considerada o estado da arte quando se trata de bate-papo criptografado de ponta a ponta. No XCHAT, uma vez que o usuário clica em “Configurar agora”, X os leva a criar um pino de 4 dígitos, que será usado para criptografar a chave privada do usuário. Essa chave é então armazenada nos servidores de X. A chave privada é essencialmente uma chave criptográfica secreta atribuída a cada usuário, atendendo ao objetivo de descriptografar mensagens. Como em muitos serviços criptografados de ponta a ponta, uma chave privada é emparelhada com uma chave pública, que é o que um remetente usa para criptografar mensagens ao receptor. Esta é a primeira bandeira vermelha para o xchat. O sinal armazena a chave privada de um usuário em seu dispositivo, não em seus servidores. Como e onde exatamente as teclas privadas são armazenadas nos servidores X também é importante. Matthew Garrett, pesquisador de segurança que publicou um post sobre o Xchat em junho, quando X anunciou o novo serviço e começou a lançá -lo lentamente, escreveu que, se a empresa não usar o que é chamado de módulos de segurança de hardware ou HSMS, para armazenar as chaves, a empresa poderá adulterar as teclas e as mensagens potencialmente descriptografadas. Os HSMs são servidores fabricados especificamente para dificultar a empresa que eles possuem para acessar os dados dentro. Um engenheiro X disse em um post em junho que a empresa usa o HSMS, mas nem ele nem a empresa forneceram alguma prova até agora. “Até que isso seja feito, isso é território ‘confie em nós, mano'”, disse Garrett à TechCrunch. A segunda bandeira vermelha, que X em si admite na página de suporte do X Chat, é que a implementação atual do serviço pode permitir que “um insider malicioso ou X em si” comprometa as conversas criptografadas. Isso é o que é tecnicamente chamado de “adversário no meio”, ou ataque do AITM. Isso torna o objetivo de uma plataforma de mensagens criptografada de ponta a ponta discutível. Garrett disse que X “fornece a chave pública sempre que você se comunica com eles; portanto, mesmo que eles tenham implementado isso corretamente, você não pode provar que eles não inventaram uma nova chave” e realizaram um ataque do AITM. Outra bandeira vermelha é que nenhuma implementação do XCHAT, neste momento, é de código aberto, diferentemente do Signal’s, que é documentado abertamente em detalhes. X diz que tem como objetivo “abrir código -fonte e descrever a tecnologia de criptografia em profundidade através de um whitepaper técnico ainda este ano”. Finalmente, X não oferece “sigilo de avanço perfeito”, um mecanismo criptográfico pelo qual toda nova mensagem é criptografada com uma chave diferente, o que significa que, se um invasor compromete a chave privada do usuário, só poderá descriptografar a última mensagem e não todos os anteriores. A própria empresa também admite essa falha. Como resultado, Garrett não acha que o Xchat está em um ponto em que os usuários ainda devem confiar. “Se todos os envolvidos são totalmente confiáveis, a implementação do X é tecnicamente pior que o sinal”, disse Garrett ao TechCrunch. “E mesmo que eles fossem totalmente confiáveis para começar, eles poderiam parar de ser confiáveis e comprometer a confiança de várias maneiras […] Se eles não eram confiáveis ou incompetentes durante a implementação inicial, é impossível demonstrar que há alguma segurança. ” Garrett não é a única especialização que levanta as preocupações. endereço.

Fonte

Techloop

Você pode ter perdido

Rivian processa para vender seus EVs diretamente em Ohio

Amazon nega o relatório que está fechando o Wearky Podcast Studio

Mobilidade do TechCrunch: Gambit de Holding de Tesla

Perplexidade acusada de raspar sites que bloquearam explicitamente a REI raspando

Conversação de chatgpt vazada mostra o usuário identificado como advogado perguntando como “deslocar uma pequena comunidade indígena amazônica de seus territórios para construir uma barragem e uma planta hidrelétrica”

OpenAI diz que o ChatGPT está a caminho de chegar a 700m de usuários semanais

A verdade sobre invadir a tecnologia agora

Rod Stewart revive Ozzy Osbourne, que empunhava o bastão de selfie em um vídeo nojento da AI

Elon Musk diz que está trazendo de volta o arquivo de Vine

Retornos mensuráveis encontrados para grandes telecomunicações além da economia de custos

Related Posts

Você pode ter perdido