法国打造政府机关专用通讯程序Tchap,隔天就被找到漏洞

法国为了加强政府机关之间的通信安全,采用开源的端对端加密通信协议Matrix打造了Tchap通讯程序,同时规定只有使用政府机关的电子邮件帐号才能注册,并在4月17日于App Store及Google Play上发布了Tchap测试版,然而,法国的安全研究人员Baptiste Robert(网名Elliot Alderson‏)隔天就找到了Tchap的安全漏洞,成功注册了Tchap帐号,渗透Tchap的群组聊天室。

Tchap项目的目的在于打造一个端对端加密的安全通信平台,既有移动程序,也可自网页登录,所分享的附加文件需经杀毒软件扫描,而且存放在法国。该项目是由法国的国家数字消息通信部(DINSIC)主导,并在信息系统安全局(ANSSI)、军队部与外交部的通力合作下完成,打算作为法国所有政府机关的专用通讯程序,也会允许外部的合作单位加入,历经了数月以及数千名官员的内部测试,始于日前发布了测试版。

至于法国安全研究人员Baptiste Robert则是在隔天下载了Tchap,发现它必须要使用@ gouv.fr或@ elysee.fr等政府机构的邮件信箱才能注册,于是他搜索了某个政府官员的电子邮件信箱,再加上自己的电子邮件信箱,如“fs0c131y @ protonmail.com @ presidence @ elysee.fr”然后就在自己的邮件信箱收到注册信了。

成功注册Tchap的Robert,还潜入了该平台上的多个公开聊天室。

尽管接到Robert通知的Matrix,很快就修补了该协议用来验证电子邮件地址的身份服务器Sydent,但已让法国政府脸上无光。

法国政府则说将会持续改善Tchap测试版,也会听取外部专家的意见,而且已准备推出针对Tchap的漏洞挖掘奖励计划。