Я заметил важную вещь за последние недели относительно X Chat, который только что запустился на iOS. Платформа продвигает его как зашифрованное приложение для обмена сообщениями "от конца до конца", но есть сложные технические детали, о которых никто особо не говорил.

Первая и основная проблема: используемый протокол совсем не похож на Signal. X Chat использует так называемый Juicebox, что означает, что шифровальный ключ делится на три части, распределённые по серверам X. Иными словами, X фактически владеет ключами, а не пользователь. В отличие от Signal, где ключи никогда не покидают устройство — ни Signal, ни суды ничего не имеют. Профессор Мэтью Грин из Джонса Хопкинса прямо заявил, что это "выглядит как уязвимость, означающая конец игры", когда он анализировал структуру в июне прошлого года. И самое важное — это до сих пор не изменилось.

Есть ещё одна техническая проблема: X Chat не обеспечивает так называемую Forward Secrecy. В Signal каждая сообщение использует уникальный ключ, который автоматически меняется. В X Chat такой механизмы нет, что означает, что если ключ скомпрометируют в какой-то момент, можно расшифровать все предыдущие сообщения.

Вторая проблема связана с Grok. У каждого сообщения есть опция "Ask Grok" — при нажатии оно отправляется в Grok в виде обычного незашифрованного текста. Это не является уязвимостью само по себе, но политика конфиденциальности не уточняет, будут ли эти данные использованы для обучения модели Grok или нет. Чем лучше ответы Grok, тем больше пользователи полагаются на него, и тем больше сообщений выходит из-за шифровки.

Третья проблема: почему до сих пор нет версии для Android? Android занимает примерно 73% рынка смартфонов в мире. WhatsApp и Signal в основном ориентированы на Android, особенно на развивающихся рынках. Только в Индии у WhatsApp 854 миллиона пользователей, из которых 95% — на Android. Но X Chat запустили только на iOS — либо по техническим причинам (Rust усложняет поддержку нескольких платформ), либо по стратегическим причинам (iOS занимает 55% рынка в США, а основная аудитория X находится в США).

Более широкая картина ещё опаснее. X Chat с X Money и Grok образуют замкнутую систему данных — кто вы, с кем общаетесь, откуда ваши деньги и куда они идут. Это похоже на концепцию WeChat, но в западном контексте. Разница в том, что WeChat никогда не заявлял, что его сообщения "от конца до конца" на главном интерфейсе, а X Chat делает это. Пользователи понимают этот термин так, что никто, даже сама платформа, не может видеть ваши сообщения. Но структура X Chat не соответствует этим ожиданиям.

В феврале Меск обещал провести строгие тесты безопасности и открыть исходный код, но к дате запуска 17 апреля ни одна независимая проверка сторонних организаций не была завершена, и официального репозитория на GitHub нет. Метки конфиденциальности в App Store показывают, что X Chat собирает более пяти категорий данных, включая местоположение и контакты, что противоречит маркетинговому посланию "без рекламы, без трекеров".

Если вы задумываетесь о использовании X Chat или входе через аккаунт x, стоит понять, к чему вы действительно подключаетесь. Шифровая безопасность — не такая простая, как кажется на первый взгляд.