Tchap 是一種新的政府應用程序,旨在確保某些公共服務官員之間的交流,以使國家的主權數據更加保密。但奇怪的是,推出後不到 24 小時,一位法國安全研究人員就發現了一個重大缺陷。
自2019年4月17日星期三起,可下載新聞Tchap 訊息應用程式在 Play 商店和 App Store 上。但它並不適合所有人。Tchap 是某些公務員和國家工作人員可以使用的應用程式。目標是讓他們「在移動中或在辦公室工作站上交換敏感或不太敏感的資訊」。
除了端對端加密之外,這些資訊還儲存在政府伺服器上,而不是儲存在第三方服務的伺服器上,就像WhatsApp或者電報。要存取 Tchap,擁有一個專業的電子郵件地址至關重要。換句話說,只有@gouv.fr 或 esee.fr 等網域的地址才能存取它。但在推出後不到 24 小時,這個看似安全的訊息應用程式中就發現了一個缺陷。
這個問題很值得問,因為只花了幾個小時安德森(Elliot Anderson),法國安全漏洞搜尋者識別應用程式中的第一個漏洞。希望沒有其他人。
«我剛剛看了#查普法國政府推出的新安全應用程式。而且,該死的結果是可怕的。@愛麗舍宮 @政府FR @菲利普·PM @馬克宏我怎麼聯絡你?這非常非常緊急」。
白帽駭客正是透過在推特上發布的這條消息發起了警報。 01net 網站聯繫了他,他提供了更多有關該內容的資訊:
「理論上,該應用程式是為政府僱員保留的,換句話說,電子郵件地址為 gouv.fr 或 elysee.fr 的人。由於註冊時電子郵件地址存在過濾問題,我在沒有正式電子郵件地址的情況下成功在應用程式上註冊為愛麗舍宮員工。因此,我可以訪問所有公共房間、註冊人員的個人資料等。
具體來說,研究人員會添加“@[電子郵件受保護]» 到他的地址,這使他能夠“透過伺服器端安全檢查並透過我的個人地址接收驗證電子郵件”正如他告訴 01net 的那樣。這種技術最終不會對其他駭客有用,尤其是那些處於黑暗勢力的駭客,因為該缺陷很快就得到了糾正。
「我們在下午 1 點左右部署了修復程序。 »在 4 月 18 日星期四發布的一條推文中,宣布了開發 Matrix 的公司,Matrix 是 Tharp 應用程式所基於的通訊協定。
詢問我們最新的!
太陽系中行星的略微傾斜和偏心的軌道長期以來一直引起科學家的興趣。一項新的研究提出了一個令人著迷的理論:來自另一個恆星系統的巨大物體會破壞其最初的組織。太陽系...
訊息
