На минувшей неделе платформа X запустила свой новый мессенджер XChat, который стал первым шагом к амбициозным целям xAI. Однако вскоре после дебюта эксперты выявили критические изъяны в системе шифрования.
XChat использует протокол Juicebox для защиты ключей. В рамках этого подхода они разбиваются на отдельные части, которые распределяются по разным серверам, чтобы ни один из них не мог собрать ключ целиком самостоятельно.
Как показало расследование Mysk, главным слабым местом архитектуры шифрования XChat стало то, что все серверы, на которых хранятся фрагменты ключей, принадлежат xAI.
Благодаря общему сертификату безопасности, который не привязан к коду приложения, исследователям удалось объединить фрагменты и расшифровать переписку. Эксперты уверены, что разработчики XChat технически способны получить доступ к чатам пользователей.
К тому же пользователь под ником mig59 отметил слабость ПИН-кода, охраняющего ключи шифрования. Он поддается брутфорс-атакам и может быть взломан за считанные часы.
Тем временем представители малого бизнеса на фоне блокировок WhatsApp* и Telegram вынуждены переводить общение с клиентами в СМС и телефонные звонки. Национальный мессенджер МАКС не стал полноценной заменой зарубежным ресурсам.
