法國政府專用通訊 app 在及時修補漏洞後已推出測試版本

Tchap 在推出前一刻被發現了一個能讓任何人輕鬆註冊的漏洞。

法國政府專用通訊 app 在及時修補漏洞後已推出測試版本

基於安全的考量,法國於本月稍早便傳出正在測試政府專用通訊 app 的消息,雖然如今這款 Tchap 的 beat 版本已正式登場,但回顧其推出的過程卻算不上是順利啊。根據報導,Tchap 兼容 iOS 和 Android 雙平台,其所有的私人對話都會經過端到端的加密,同時內建的防毒軟體也會掃描所有的附加檔案,數據更全部都將儲存於法國本地,以帶來比市面上 app 更好的安全防護。然而,在如此大費周章的措施之下,Tchap 卻在推出前被發現,任何人只要擁有一個法國政府的電子郵件地址,就可以輕鬆註冊登入,也揭露了其安全性的破口。

日前安全研究員 Elliot Alderson(又名 Baptiste Robert)發現,Tchap 對於電子郵件地址的檢查並不像應該的那般嚴格。他僅僅透過把 @elysee.fr(法國總統府郵件地址的後半截)加到自己想使用的電子郵件之後,就順利地騙過系統並成功註冊帳號,驗證郵件甚至也順利發送到了他實際使用的信箱當中。經過如此簡單的程序後,他就能看到所有 Tchap 上公開的對話,或是與政府人員進行交談。

在發現該問題後,Elliot Alderson 便聯繫了政府與 Riot 開源軟體的母公司 Matrix。目前 Matrix 已及時將漏洞修補,避免如此尷尬的狀況延續到當前的版本之上。

法國政府的數位代理商 DINSIC 表示,他們將會持續為 Tchap 的安全性和功能作出改進。同時,有鑒於研究人員的通報讓上述漏洞得以及時修復,他們也將啟動一個除錯獎勵計劃,鼓勵安全專家來挑戰他們的系統。經過了這次事件,短期內法國的官員們應該還不會將事務的討論全面轉移至 Tchap 上進行。但無論如何,離開 Telegram (法國總統馬克宏的最愛)這類大眾使用的 app 後,多少能減少官員們對話被入侵竊取的機會吧。

來源: Numerique.gouv.fr (翻譯), Elliot Alderson (Medium)

經由: Engadget, TechCrunch

相關報導: Matrix