Кодик кратко объясняет суть статьи
В App Store вышел мессенджер XChat от X Corp, интегрированный с соцсетью X и не требующий привязки к телефонному номеру. Основные функции включают сквозное шифрование (активируется иконкой замка), исчезающие сообщения и защиту от скриншотов. Однако кибербезопасность экспертов вызывает обеспокоенность: приватные ключи хранятся на серверах X Corp и защищены лишь четырёхзначным PIN-кодом, что позволяет внутренним сотрудникам получить доступ к переписке. Приложение активно собирает метаданные — IP-адреса, поведенческие паттерны, контакты, а также не удаляет GPS-координаты и данные о устройстве из пересылаемых фото. Собранная информация может передаваться третьим сторонам и использоваться для обучения нейросети Grok. Эксперты не рекомендуют использовать XChat для передачи конфиденциальной, корпоративной или медицинской информации, советуя вместо этого решения с открытым исходным кодом. Android-версия пока не анонсирована, доступ к приложению ограничен по регионам.
Читайте в Telegram
|
В магазине App Store состоялся официальный релиз мессенджера XChat от компании X Corp.
Приложение предназначено для устройств на базе iOS и глубоко интегрировано с основной социальной сетью. Официальная дата выхода Android-версии продукта разработчиками пока не раскрывается.
На данный момент мессенджер полностью отсутствует в российском сегменте магазина App Store, а также не работает с российским IP-адресом.
Главным конкурентным преимуществом XChat перед другими мессенджерами эксперты называют отсутствие привязки к номеру телефона. Для начала общения достаточно иметь активный аккаунт в социальной сети X.
В сервисе доступно сквозное шифрование (E2EE), которое пользователи могут активировать нажатием на иконку замка. Дополнительно в XChat реализована функция исчезающих через пять минут сообщений и механизм блокировки создания скриншотов.
Несмотря на заявленные алгоритмы защиты, специалисты по кибербезопасности подвергли архитектуру приложения критике. Главная проблема заключается в хранении приватных ключей шифрования непосредственно на корпоративных серверах X Corp.
В отличие от мессенджера Signal, ключи XChat защищены лишь четырёхзначным PIN-кодом. Представители X ранее признавали, что подобная архитектура технически позволяет внутренним инсайдерам получить доступ к перепискам.
Ещё одним критическим недостатком сервиса стал масштабный сбор пользовательских метаданных. Приложение фиксирует IP-адреса, историю поиска, поведенческие паттерны, а также списки контактов.
Аналитики из Endor Labs выяснили, что XChat не удаляет технические метаданные из пересылаемых изображений. Перехваченная фотография сохраняет точные GPS-координаты и модель смартфона, даже если сам текст диалога был зашифрован.
Согласно текущей политике конфиденциальности, массив собираемой информации может передаваться сторонним партнёрам и рекламодателям. Исследователи предполагают, что эти данные в том числе используются корпорацией для обучения собственной нейросети Grok.
Эксперты рекомендуют использовать XChat исключительно для повседневного общения, утечка которого не принесёт вреда. Для обмена корпоративной, финансовой или медицинской информацией они советуют применять исключительно решения с открытым исходным кодом.
