กระบวนการยืนยันว่าซอฟต์แวร์ตัวหนึ่งมีความปลอดภัยไม่ใช่แค่การเข้ารหัสที่ซับซ้อน (ความซับซ้อนอาจจะสร้างช่องโหว่เสียเองด้วย) หรือการโอเพนซอร์สแล้วอ้างว่ามีการตรวจสอบจากภายนอกแต่โครงการที่มีคนใช้งานน้อยเกินไปก็มักไม่ได้รับการตรวจสอบเพียงพออยู่ดี รอบนี้ทาง Open Technology Fund จึงจัดเงินทุนมาจ้างที่ปรึกษาให้ตรวจสอบความปลอดภัยของโปรแกรมแชตเข้ารหัสอย่าง Cryptocat

รายงานแสดงให้เห็นช่องโหว่และอันตรายหลายอย่าง เช่นกระบวนการยืนยันว่าฝ่ายตรงข้ามที่กำลังแชตอยู่เป็นคนที่เราตั้งใจจะคุยด้วยจริง เมื่อมีกุญแจสาธารณะใหม่แสดงตัวว่าเป็นผู้ใช้เดิมก็ไม่มีการเตือนที่ชัดเจน โดยกระบวนการแจ้งเตือนผู้ใช้ทั้งหมดจะถูกแก้ไขในรุ่นต่อไป

นอกจากนี้ยังมีปัญหาที่ทีมงานไม่นึกถึง เช่น ระหว่างการเปลี่ยนแอพพลิเคชั่นใน iOS ระบบปฎิบัติการจะเซฟภาพหน้าจอลงดิสก์ (เคล็ดลับความลื่นของ iOS) ปัญหาคือถ้ากำลังอยู่ในหน้าแสดงกุญแจ, กุญแจลับอาจจะถูกเซฟลงดิสก์โดยไม่เข้ารหัส กระบวนการเชื่อมต่อ SSL ที่เสี่ยงต่อการโจมตี StartSSL stripping, มีการเก็บข้อความที่เข้ารหัสไว้ในเซิร์ฟเวอร์, และอาการแครช

กระบวนการตรวจสอบโดยทีมงานมืออาชีพ เช่นนี้ปกติมีค่าใช้จ่ายสูงมากและมักปกปิดเป็นทรัพย์สินภายในของผู้ผลิตซอฟต์แวร์ งานนี้รายงานสองฉบับจาก Least Authority (PDF) และ iSEC Partners (PDF) เปิดให้ดาวน์โหลดไปอ่านกันได้ฟรี ถ้าสนใจทำงานด้านความปลอดภัย ควรหาโอกาสอ่านว่ามืออาชีพทำงานกันอย่างไรครับ

ที่มา - Open Tech Fund, Cryptocat