XChat 的开发者使用 Juicebox 协议来保护私钥。该算法会将密钥拆分为多个片段,并分布到不同的服务器上。用户需要设置一个 4 位 PIN 码才能访问聊天内容。理论上,任何单一服务器都无法独立还原完整数据,但专家发现这种架构存在弱点。
对网络流量的分析显示,所有服务器实际上都由 X 公司控制。公开报告中可以看到,移动客户端会访问 3 个 x.com 域名,并使用同一个安全证书。这一问题还因程序中缺乏严格的证书绑定机制而加剧,从而使数据有被拦截和解密的风险。
专家认为,开发人员在技术上具备恢复密钥并访问用户私密信息的能力。官方目前尚未对此问题作出回应,而业内的愤怒情绪仍在持续上升。
本文由游民星空制作发布,未经允许禁止转载。