Бриджфи
 | Судя по всему, основной автор этой статьи тесно связан с ее предметом. ( Март 2023 г. ) |
 | |
| Промышленность | программное обеспечение технология |
|---|---|
| Основан | 2014 |
| Основатель | Хорхе Риос, Роберто Бетанкур, Диего Гарсия |
| Штаб-квартира | Мексика |
Обслуживаемая территория | По всему миру |
| Продукты | Приложение Bridgefy |
| Веб-сайт | бриджфий |
Bridgefy — мексиканская компания-разработчик программного обеспечения с офисами в Мексике. [1] и Калифорния, США, занимающиеся разработкой технологии ячеистых сетей для мобильных приложений. Ее основали примерно в 2014 году Хорхе Риос, Роберто Бетанкур и Диего Гарсия, которым пришла в голову эта идея во время участия в технологическом конкурсе под названием StartupBus . [2] Bridgefy Технология специальной сети для смартфонов , по-видимому, использующая Bluetooth Mesh , лицензируется для других приложений. [3] [4] [5] Приложение приобрело популярность во время протестов в разных странах, поскольку может работать без Интернета, используя вместо него Bluetooth. осознавая проблемы безопасности, связанные с отказом от использования криптографии, и критику вокруг нее, [6] В конце октября 2020 года Bridgefy объявила, что они внедрили протокол Signal как в своем приложении, так и в SDK, чтобы обеспечить конфиденциальность информации. [7] хотя исследователи безопасности продемонстрировали, что использование Bridgefy сигнального протокола небезопасно. [8]
Использование
[ редактировать ]Приложение приобрело популярность как коммуникационная тактика во время протестов в Гонконге в 2019–2020 годах и протестов против поправки к Закону о гражданстве в Индии. [9] потому что для этого требуется, чтобы люди, которые хотят перехватить сообщение, находились физически близко из-за ограниченного радиуса действия Bluetooth и возможности последовательного подключения устройств для отправки сообщений за пределы диапазона Bluetooth. [10] [11] [12] [13]
Безопасность
[ редактировать ]В августе 2020 года исследователи опубликовали статью, описывающую многочисленные атаки на приложение, которые позволяют деанонимизировать пользователей, строить социальные графики взаимодействия пользователей (как в реальном времени, так и постфактум), расшифровывать и читать прямые сообщения, выдавать себя за пользователей кому угодно. в сети, полностью отключая сеть, выполняя активные атаки «человек посередине» для чтения сообщений и даже их изменения. [6]
В ответ на раскрытие информации разработчики признали, что «ни одна часть приложения Bridgefy сейчас не зашифрована», и дали расплывчатое обещание выпустить новую версию, «зашифрованную с помощью лучших протоколов безопасности». [14] Позже разработчики заявили, что планируют перейти на протокол Signal , который широко признан криптографами и используется Signal и WhatsApp . [6] Протокол Signal был интегрирован в приложение Bridgefy и SDK к концу октября 2020 года, при этом разработчики заявили, что включили такие улучшения, как невозможность выдачи себя третьим лицом за другого пользователя, атаки типа «посредник», осуществляемые путем изменения сохраненных ключей. и отслеживание исторической близости, среди прочего. [7]
Однако в 2022 году те же исследователи безопасности, в том числе и Кенни Патерсон , опубликовали статью, описывающую, что Bridgefy использовала сигнальный протокол неправильно, не сумев устранить ранее обнаруженные проблемы. [15] Исследователи провели демонстрацию, показав, что пользователи могут перехватывать сообщения, предназначенные для других, незаметно для отправителя. [16] Исследователи раскрыли уязвимости разработчикам Bridgefy в августе 2021 года, но, по словам исследователей, по состоянию на июнь 2022 года разработчикам так и не удалось устранить проблемы. [8]
31 июля 2023 года охранная фирма 7asecurity опубликовала сообщение в блоге и отчет о пентесте «белого ящика» , посвященный тесту на проникновение и общему обзору безопасности приложения Bridgefy в сотрудничестве с разработчиками платформы. Их проверка, которая началась в ноябре 2022 года и завершилась в мае 2023 года, выявила множество критических уязвимостей во всем приложении. Многие проблемы были устранены или частично устранены до окончания аудита, включая выдачу себя за пользователя и обход биометрических данных . 8 августа 2023 года Bridgefy также опубликовал сообщение в блоге, в котором объявил о результатах аудита.
См. также
[ редактировать ]- Сигнальный протокол , который разработчики использовали для исправления проблем с безопасностью.
- Briar , еще одно коммуникационное приложение, которое может использовать Bluetooth.
Ссылки
[ редактировать ]- ^ «Мексиканский стартап» .
- ^ Веласкес, Франк (22 ноября 2018 г.). «Bridgefy, мексиканский стартап, который позволит вам вызвать Uber или получить сейсмическое предупреждение без Интернета» [Bridgefy, мексиканский стартап, который позволит вам вызвать Uber или получить сейсмическое предупреждение без Интернета]. Предприниматель (на испанском языке). Архивировано из оригинала 4 сентября 2019 года . Проверено 4 сентября 2019 г.
- ^ Сильва, Мэтью Де (3 сентября 2019 г.). «Протестующие в Гонконге возрождают ячеистые сети, чтобы предотвратить отключение интернета» . Кварц . Архивировано из оригинала 03 сентября 2019 г. Проверено 3 сентября 2019 г.
- ^ «Протестующие в Гонконге используют приложение, которому не нужен Интернет, и которое позволяет обойти китайское слежение» . Таймс оф Индия . 03.09.2019. Архивировано из оригинала 03 сентября 2019 г. Проверено 3 сентября 2019 г.
- ^ Томпсон, Клайв (3 сентября 2019 г.). «Протестующие в Гонконге используют приложение для обмена сообщениями в ячеистой сети, чтобы уйти от властей» . Боинг-Боинг . Архивировано из оригинала 03 сентября 2019 г. Проверено 3 сентября 2019 г.
- ^ Jump up to: а б с Гудин, Дэн (24 августа 2020 г.). «Bridgefy, мессенджер, рекламируемый для массовых протестов, представляет собой катастрофу для конфиденциальности» . Арс Техника . Проверено 26 августа 2020 г.
- ^ Jump up to: а б «Пресс-релиз — основные обновления безопасности в Bridgefy!» . Бриджфи . Архивировано из оригинала 14 декабря 2021 г. Проверено 27 апреля 2021 г.
- ^ Jump up to: а б Эйкенберг, Рафаэль. «Опять ломаем Bridgefy» . Гитхаб . Проверено 14 июня 2022 г.
- ^ Нанди, Тамал (19 декабря 2019 г.). «Bridgefy: приложение для автономного обмена сообщениями внезапно набирает обороты в Индии» . livemint.com . Проверено 22 декабря 2019 г.
- ^ «Протестующие в Гонконге используют Bridgefy, чтобы помешать Китаю следить за действиями» . Новости | Журнал «Генеральный директор» . 03.09.2019. Архивировано из оригинала 03 сентября 2019 г. Проверено 3 сентября 2019 г.
- ^ Джоуитт, Том (3 сентября 2019 г.). «Bridgefy растет на фоне протестов в Гонконге | Silicon UK Tech News» . Кремний Великобритания . Архивировано из оригинала 03 сентября 2019 г. Проверено 3 сентября 2019 г.
- ^ Уэйкфилд, Джейн (3 сентября 2019 г.). «Протестующие в Гонконге используют приложение Bluetooth» . Архивировано из оригинала 04 сентября 2019 г. Проверено 3 сентября 2019 г.
- ^ «Гонконг: протестующие используют автономное приложение Bridgefy, чтобы не быть идентифицированными» . Небесные новости. Архивировано из оригинала 03 сентября 2019 г. Проверено 3 сентября 2019 г.
- ^ «Bridgefly: ни одна часть приложения Bridgefy теперь не зашифрована» . Твиттер . Архивировано из оригинала 04 июня 2020 г. Проверено 26 августа 2020 г.
- ^ Альбрехт, Мартин Р.; Эйкенберг, Рафаэль; Патерсон, Кеннет Г. (2022). «Опять ломаем Bridgefy» . Безопасность USENIX (22). ISBN 9781939133311 . Проверено 14 июня 2022 г.
- ^ Эйкенберг, Рафаэль. «Взлом демо-версии атаки Bridgefy» . Твиттер . Проверено 14 июня 2022 г.