法国政府消息应用程序的安全漏洞暴露了机密对话-王其杉博客|程序员|科技新闻
法国政府刚刚推出了自己的消息应用程序TCHAP,以保护来自黑客、私人公司和外国实体的对话。但埃利奥特·奥尔德森,也叫巴普蒂斯特·罗伯特,立刻发现了一个安全漏洞。他能够创建一个帐户,即使服务应该只限于政府官员。
TCHAP不是从零开始建造的。Dinsic是法国负责所有数字化事务的政府机构,它发起了一个名为riot的开源项目,该项目基于一个名为matrix的开源协议。
简言之,Matrix是一种以端到端加密为特征的消息传递协议。它与其他协议竞争,例如广泛用于消费者应用程序的信号协议,如WhatsApp、Signal、Messenger的秘密对话和Google allo的匿名转换——默认情况下,Messenger和allo对话不是端到端加密的。
Riot是一个在台式机和移动设备上工作的矩阵客户机。你可以加入房间,开始私人谈话,分享照片,做任何你希望从现代信息应用程序。它看起来是这样的:
发展TCHAP变得至关重要,因为Emmanuel Macron的竞选团队严重依赖电报——法国政府仍然使用电报和WhatsApp进行许多敏感的对话。默认情况下,电报不使用端到端加密。换言之,为电报工作的人可以很容易地阅读Macron的对话。这是一个严重的安全弱点。
同样,你也不希望国防部利用Slack谈论敏感行动。美国政府可能会发布一份授权书,允许在Slack的服务器上访问这些对话。
TCHAP具有端到端加密功能,加密的消息存储在法国服务器上。访问权限仅限于政府官员,因为您需要有一个以@something.gouv.fr或@elysee.fr结尾的活动电子邮件地址。
昨天,奥尔德森发现,即使你没有官方地址,你也可以创建一个帐户并访问公共频道。在他的电子邮件地址末尾添加@elysee.fr就足够接收确认电子邮件到他的真实电子邮件地址。
奥尔德森很快向矩阵小组透露了这个错误。Matrix很快发布了修复程序并部署了它。这与法国政府使用的身份识别系统有关。
我们提供了一个修复程序,该修复程序在CET 13:00左右部署;除了@fs0c131y之外,该问题没有被利用。我们目前正在仔细检查其他部署中是否存在相同问题的任何实例。
-矩阵(@matrixdoorg)2019年4月18日
根据奥尔德森的说法,在一个著名的Python模块中使用的解析方法中有一个bug。该漏洞自2018年7月以来一直没有得到修复。
好消息是TCHAP今天正式发布。Dinsic在正式发布之前及时修复了这个安全漏洞,有人可以利用它。政府在其新闻稿中说,Dinsic将启动一个bug奖励计划,以识别其他漏洞。