EN
بدأت منصة إكس (X)، المعروفة سابقا باسم “تويتر”، في طرح ميزة الرسائل المشفرة الجديدة التي تحمل اسم XChat أو الدردشة، والتي تعد أحدث محاولاتها لتعزيز خصوصية التواصل بين المستخدمين.
وتزعم الشركة أن هذه الخدمة تستخدم تشفيرا من الطرف إلى الطرف، بحيث لا يمكن قراءة الرسائل إلا من قبل المرسل والمستقبل فقط، حتى الشركة نفسها لا تستطيع الاطلاع عليها نظريا على الأقل.
لكن خبراء التشفير يحذرون من أن تطبيق إكس لهذه التقنية لا يمكن الوثوق به في الوقت الحالي، بل ويصفونه بأنه أضعف بكثير من أنظمة التشفير المعتمدة في تطبيقات مثل سيجنال، والتي تُعد معيارا ذهبيا في هذا المجال.
عند تفعيل XChat، يطلب من المستخدم إنشاء رمز PIN مكون من أربعة أرقام، يستخدم لتشفير “المفتاح الخاص” الخاص به، والذي يخزن على خوادم إكس، هذا المفتاح الخاص هو العنصر الأساسي لفك تشفير الرسائل، ويستخدم بالتوازي مع مفتاح عام لتأمين التواصل بين المستخدمين، لكن هنا تكمن المشكلة الأولى:
- في حين يحتفظ تطبيق سيجنال بالمفتاح الخاص على جهاز المستخدم نفسه، تقوم “إكس” بتخزينه على خوادمها، وهي ممارسة تعتبر نقطة ضعف أمنية جوهرية، خصوصا إذا لم تستخدم تقنيات حماية متقدمة مثل وحدات الأمان المادي HSMs.
- المشكلة الثانية التي تثير القلق هي أن صفحة الدعم الرسمية لميزة XChat تعترف بأن النظام الحالي يمكن – من الناحية النظرية – أن يستغل من قبل موظف خبيث أو من قبل الشركة نفسها لاختراق المحادثات، هذا النوع من الثغرات يعرف في عالم الأمن السيبراني باسم “هجوم الخصم في الوسط” AITM، ويفرغ مفهوم التشفير من الطرف إلى الطرف من مضمونه تماما.
وأشار غاريت إلى أن “إكس” تمنح المستخدمين المفاتيح العامة من دون وسيلة للتحقق من مصداقيتها. وهذا يعني أن الشركة، حتى لو طبقت نظام التشفير بشكل صحيح، قد تزود أحد الطرفين بمفتاح مزيف وتتمكن بذلك من اعتراض الرسائل.
- القلق الثالث يتعلق بكون نظام XChat غير مفتوح المصدر حاليا، على عكس تطبيقات مثل سيجنال التي تنشر الكود الخاص بها بشكل علني للتمحيص والمراجعة، وعدت “إكس” بأنها ستنشر التفاصيل التقنية لاحقا في “ورقة بيضاء”، لكنها لم تفعل ذلك حتى الآن.
وأخيرا، تفتقر XChat إلى ميزة تعرف بـ “السرية التامة للتقدم”، والتي تضمن أن كل رسالة يتم تشفيرها بمفتاح فريد، وبالتالي، إذا تم اختراق المفتاح الخاص، فلن يتمكن المهاجم من الوصول إلى جميع الرسائل السابقة، بل فقط إلى الرسالة الأخيرة. هذا القصور الأمني تعترف به الشركة أيضا.
بناء على كل هذه العوامل، يرى الخبراء أن XChat ليست آمنة بما يكفي للاعتماد عليها في الوقت الحالي، ويؤكد غاريت أنه حتى في حال افترضنا أن جميع العاملين في “إكس” محل ثقة، فإن تنفيذهم للتقنية لا يزال أضعف من الخيارات المنافسة، والأسوأ من ذلك، أن أي خطأ في تنفيذ النظام منذ البداية يجعل من المستحيل إثبات أن هناك أمانا حقيقيا.
ويشاركه الرأي البروفيسور ماثيو غرين، أحد أبرز خبراء التشفير في جامعة جونز هوبكنز، إذ قال إنه لن يثق بـ XChat في الوقت الحالي “أكثر من ثقته بالرسائل غير المشفرة العادية”.
