法国政府的"安全 "WhatsApp 替代品在短短 90 分钟内被破解
法国政府开发安全的即时通讯应用
法国政府一直在开发一款名为 Tchap 的即时通讯应用程序,以确保政府雇员对话的安全。
在周三的发布会上,Tchap 被誉为"消费者应用程序(如 WhatsApp 或 Telegram)的安全替代品"。然而,不得不说,不到两小时后,事情看起来并不那么安全。
Tchap 项目由国家信息和通信系统部际局(DINSIC)领导,法国国家网络安全局(ANSSI)、外交部和武装部队部参与,承诺对存储在法国服务器上的信息进行端对端加密,并严格限制政府官员访问。然而,在发布的短短 90 分钟内,法国安全研究人员 Baptiste Robert 就在这个所谓的超级安全的应用程序上炸出了一个巨大的漏洞。
罗伯特决定看看 Tchap,但发现你需要有一个以 @gouv.fr 或 @elysee.fr 结尾的法国政府官方电子邮件地址才能创建一个账户。在他以 Elliot Alderson 的化名发表的 Medium 文章中,Robert 描述了他如何对 Tchap 背后的开放源代码进行动态分析。通过修改验证账户创建所需的 requestToken 请求,罗伯特将他的电子邮件改为
fs0c131y@protonmail.com@presidence@elysee.fr,用他自己的话说,"Bingo!我收到了一封来自 Tchap 的电子邮件,我能够验证我的账户了!"这使安全研究人员能够以 Elysee 员工的身份登录 Tchap,并在这个所谓的安全应用程序中访问各种"房间"的对话。
令人担忧的是,罗伯特能够如此迅速地完成这一切。一小时后,罗伯特向 Tchap 所基于的信息传输协议的开发者披露了漏洞的细节。Tchap 本身是一个名为 Riot 的开源项目的"分叉",而 Riot 是基于该矩阵协议的。
我今天早些时候联系了罗伯特,问他是否对这一切说明 ANSSI 对 Tchap 开发的监督有任何评论?罗伯特说:"任何人都可能犯错或漏掉一个漏洞。"他补充说,由于他不"详细了解 ANSSI 做了什么",他真的不能进一步评论。罗伯特在披露 Tchap 内部漏洞的当天确实与法国政府官员进行了电话交谈,但交谈的内容不得而知。然而,鉴于 Tchap 旨在成为政府雇员和官员使用的 WhatsApp 和 Telegram 的更安全的替代品,它被攻破的速度不得不让人担忧。毕竟,如果一个有一点空闲时间和大量职业好奇心的独立安全研究人员能够在短短 90 分钟内发现如此巨大的安全漏洞,那么法国国家网络安全局肯定应该像对待廉价西装一样对待它?尤其是 Tchap 背后的理由是保持对通信安全更严格的控制,并将政府对话从被认为不太安全的第三方服务(如 WhatsApp 或 Telegram)中转移出来。通过将政府对话转移到法国的内部服务器上,潜在的外国国家监控的风险就会降低。
在昨天发表的一份声明中,法国政府表示,"DINSIC 听取了专家的意见",该漏洞"在几个小时内得到了纠正"。它还证实,"DINSIC 将很快推出一个漏洞赏金"计划,以帮助检测任何其他潜在的安全问题。
来源:
评论