“抗议APP”Bridgefy漏洞百出，威胁各地用户

过去一年大规模抗议活动的兴起-在香港、印度、伊朗、黎巴嫩、津巴布韦和美国-给活动人士带来了重大挑战。当Internet连接严重拥塞或完全关闭时，您如何相互通信，同时保护您的身份和对话的私密性？

一个大力推广的解决方案是Bridgefy，这是一款即时通讯应用，得到了Twitter联合创始人比兹·斯通(Biz Stone)的财务和营销支持，号称拥有超过170万的安装。通过使用蓝牙和网状网络路由，Bridgefy允许几百米范围内的用户-只要有中间节点-就可以发送和接收直接和分组文本，而完全不依赖互联网。

Bridgefy的联合创始人兼首席执行官豪尔赫·里奥斯(Jorge Ríos)表示，他最初的设想是，这款应用程序是让农村地区或其他互联网连接稀缺的地方的人们进行交流的一种方式。随着过去一年世界各地大规模抗议活动的激增--通常发生在政府敌对或专制的地方--公司代表开始告诉记者，这款应用使用端到端加密(在这里、这里和这里重申)可以保护活动人士免受试图拦截短信或切断通讯的政府和反抗议者的伤害。在这里，公司代表开始告诉记者，这款应用使用端到端加密(在这里、这里和这里重申)保护活动人士免受政府和试图拦截短信或切断通讯的抗议者的伤害。

在过去的几个月里，该公司继续将这款应用程序作为活动人士在大型集会中进行交流的一种安全可靠的方式。布里奇菲的推文欢迎白俄罗斯、印度和津巴布韦的抗议者，更不用说全美的“黑人生命也是命”抗议活动了。该公司还表示，其软件开发工具包可以用来构建新冠肺炎联系人追踪应用。

就在本月，也就是8月10日，这篇文章援引Bridgefy联合创始人兼首席执行官豪尔赫·里奥斯(Jorge Ríos)的话说：“去年，我们成为了抗议应用程序。”直到上周，Bridgefy还通过Google Play商店告诉Android用户：“别担心！你的信息是安全的，中间的那些人是看不到的。“。该公司继续鼓励iOS用户使用这款应用进行“安全和私人的对话”。

但现在，研究人员正在揭露最近发现的一系列缺陷和弱点，这些缺陷和弱点表明，几乎所有关于匿名性、隐私和可靠性的说法都是完全错误的。

在周一发表的一篇论文中，研究人员表示，这款应用程序的设计用于音乐会、体育赛事或自然灾害期间，这使得它非常不适合大规模抗议等更具威胁性的环境。他们写道：

尽管它被宣传为“安全”和“私有”，它的创建者声称它是由端到端加密保护的，但上述任何用例都不能被认为发生在敌对环境中，例如在内乱的情况下，试图颠覆应用程序安全性的企图不仅是可能的，而且是意料之中的，而且这种攻击可能会给用户带来严重的后果。尽管如此，Bridgefy的开发者还是为这类场景宣传了这款应用，媒体报道暗示这款应用确实是值得依赖的。

研究人员是：伦敦大学皇家霍洛韦分校的马丁·R·阿尔布雷希特、豪尔赫·布拉斯科、瑞克·布热格·延森和伦卡·马雷科娃。在对这款应用进行反向工程后，他们设计了一系列毁灭性的攻击，允许黑客-在许多情况下只有适度的资源和中等的技能水平-对用户采取一系列邪恶的行动。这些攻击允许：

实时和事后构建用户交互的社交图。

执行主动中间人攻击，这不仅允许对手读取消息，而且还可以篡改消息。

使许多此类攻击成为可能的一个关键缺陷是，Bridgefy没有提供密码身份验证的手段，一个人使用密码身份验证来证明她是她声称的那个人。取而代之的是，这款应用程序依赖以明文传输的用户ID来识别每个人。攻击者可以通过空中嗅探该ID并利用它欺骗另一个用户来利用此漏洞。

由于没有有效的身份验证方法，只要攻击者至少与任何其他用户接触过一次(无论是一对一还是在网络范围的广播消息中)，任何用户都可以冒充该用户。这样，攻击者就可以伪装成值得信任的联系人，诱骗某人泄露个人姓名或其他机密信息，或者采取有害行动。缺乏身份验证还可能导致消息被窃听或篡改。

方法如下：假设Bridgefy用户Ursula给Ivan发消息时，她使用Ivan的公钥对消息进行加密。然后，Ivan使用他的私钥来解密该消息。由于没有验证用户身份的加密手段，攻击者--比方说，一个名叫Eve的攻击者--可以冒充Ivan并将她自己的公钥提供给Ursula。从那时起，伊娃可以拦截和阅读乌苏拉发送给伊万的所有消息。为了篡改Ursula或Ivan发送的消息，Eve将双方都冒充为另一方。有了这一点，Eve可以截获每条发送的消息，并在将其发送给另一方之前更改内容或添加恶意附件。

由于Bridgefy的另一个主要缺陷：它使用了PKCS#1，这是一种过时的消息编码和格式化方式，因此可以使用RSA加密算法对其进行加密，因此有了另一种读取加密消息的方式。这种编码方法在1998年已被弃用，使得攻击者能够执行所谓的填充甲骨文攻击来派生加密消息的内容。