Vulnerabilidades no Bitchat

Postado por Gerson Raymond em jul 29, 2025 em BÁSICO, DIVERSOS, EXPLORANDO, NOTÍCIAS |

Comentários desativados

Vulnerabilidades no Bitchat: rival do WhatsApp sem internet revela falhas graves

O Bitchat, mensageiro desenvolvido por Jack Dorsey — cofundador do Twitter — e projetado para comunicação via Bluetooth sem necessidade de internet, despertou atenção após a Tenable revelar vulnerabilidades significativas no app experimental. Embora prometa privacidade e descentralização, falhas detectadas ameaçam justamente esse propósito ([TecMundo].

Exposição de identificador persistente via Bluetooth

Ben Smith, engenheiro sênior da Tenable, identificou que o identificador do usuário no Bitchat é fixo e imutável, transmitido sem criptografia pelo Bluetooth. Isso significa que qualquer invasor com acesso ao sinal (até 300 metros) pode rastrear movimentos e padrões de presença de um usuário ao longo do tempo — justamente o oposto da privacidade prometida, e especialmente crítico para indivíduos em risco, como ativistas e manifestantes.

Autenticação burlada permite identidade falsa

Em análise independente, o pesquisador Alex Radocea demonstrou uma segunda vulnerabilidade: a possibilidade de fraudar a autenticação de chave pública e assumir a identidade de outro usuário. O ataque não exige acesso privilegiado nem proximidade física além do alcance do Bluetooth, como resultado de falhas no protocolo de troca de chaves e validação insuficiente do par público/privado.

Riscos amplificados por adoção prematura

Apesar do aviso explícito de Dorsey sobre a fase experimental da plataforma, muitos usuários podem subestimar os riscos e começar a utilizar o Bitchat em ambientes reais — aumentando significativamente a superfície de ataque. Aplicativos com grande visibilidade atraem atenção e podem gerar confiança aparentemente segura que, na verdade, é ilusória.

Recomendações para proteger usuários e redes

Evite usar o Bitchat em contextos sensíveis até correções oficiais.
Solicite que o projeto implemente identificadores rotativos ou dinâmicos por sessão.
Garanta autenticação robusta das chaves públicas no handshake Bluetooth.
Realize auditorias de segurança independentes antes de recomendar o app.
Desenvolva alternativas criptográficas que não dependam de identificadores físicos.

Conclusão

O caso do Bitchat mostra que inovações em privacidade não bastam se protocolos fundamentais estiverem falhos. A exposição deliberada de identificadores fixos e falhas no processo de autenticação resultam em riscos reais, exatamente para quem busca anonimato e segurança.

Aplicativos descentralizados devem passar por testes rigorosos antes de serem adotados em produção. Vulnerabilidades básicas, como essas, podem transformar facilidades tecnológicas em riscos inaceitáveis. É essencial que desenvolvedores e usuários exijam padrões elevados de segurança desde o design até o uso.

Referências

Nilton Cesar Monastier Kleina. (18 jul. 2025). Empresa de cibersegurança lista vulnerabilidades no ‘rival do WhatsApp’ que não precisa de internet. TecMundo. Disponível em: https://www.tecmundo.com.br/seguranca/405803-empresa-de-ciberseguranca-lista-vulnerabilidades-no-rival-do-whatsapp-que-nao-precisa-de-internet.htm
Tenable Research. (2025). Bluetooth privacy and authentication flaws in Bitchat messenger. Relatório técnico. Disponível em: https://www.tenable.com/blog/bluetooth-privacy-bitchat