Tchap：政府安全消息应用程序中已发现的缺陷

Tchap 是一种新的政府应用程序，旨在确保某些公共服务官员之间的交流，以使国家的主权数据更加保密。但奇怪的是，推出后不到 24 小时，一位法国安全研究人员就发现了一个重大缺陷。

自2019年4月17日星期三起，可以下载新闻Tchap 消息应用程序在 Play 商店和 App Store 上。但它并不适合所有人。Tchap 是某些公务员和国家工作人员可以使用的应用程序。目标是让他们“在移动中或在办公室工作站上交换敏感或不太敏感的信息”。

除了端到端加密之外，这些信息还存储在政府服务器上，而不是存储在第三方服务的服务器上，就像WhatsApp或者电报。要访问 Tchap，拥有一个专业的电子邮件地址至关重要。换句话说，只有@gouv.fr 或 esee.fr 等域名的地址才能访问它。但在推出后不到 24 小时，这个看似安全的消息应用程序中就发现了一个缺陷。

这个问题很值得问，因为只花了几个小时埃利奥特·安德森（Elliot Anderson），法国安全漏洞搜寻者识别应用程序中的第一个漏洞。希望没有其他人。

«我刚刚看了#查普法国政府推出的新安全应用程序。而且，该死的结果是可怕的。@爱丽舍宫 @政府FR @菲利普·PM @马克龙我怎么联系你？这非常非常紧急”。

白帽黑客正是通过在推特上发布的这条消息发起了警报。 01net 网站联系了他，他提供了更多有关该内容的信息：

“理论上，该应用程序是为政府雇员保留的，换句话说，电子邮件地址为 gouv.fr 或 elysee.fr 的人。由于注册时电子邮件地址存在过滤问题，我在没有正式电子邮件地址的情况下成功在应用程序上注册为爱丽舍宫员工。因此，我可以访问所有公共房间、注册人员的个人资料等。”

具体来说，研究人员会添加“@[电子邮件受保护]» 到他的地址，这使他能够“通过服务器端安全检查并通过我的个人地址接收验证电子邮件”正如他告诉 01net 的那样。这种技术最终不会对其他黑客有用，尤其是那些处于黑暗势力的黑客，因为该缺陷很快就得到了纠正。

“我们在下午 1 点左右部署了修复程序。 »在 4 月 18 日星期四发布的一条推文中，宣布了开发 Matrix 的公司，Matrix 是 Tharp 应用程序所基于的通信协议。