Рекомендуем почитать:
Французское правительство открыло исходные коды мессенджера Tchap с end-to-end шифрованием, созданного специально для госслужащих и призванного заменить Telegram, WhatsApp и другие подобные решения. В конце прошлой недели приложение уже появилось в официальных каталогах для iOS и Android. Исходники же были опубликованы на GitHub, чтобы собственную версию Tchap могли запустить и другие организации.
Замечу, что скачать мессенджер может любой желающий, однако воспользоваться им не выйдет: по задумке разработчиков, он позволяет зарегистрироваться только пользователям с почтовыми ящиками на правительственных доменах Франции.
Разработка Tchap началась летом 2018 года и базировалась на хорошо известном опенсорсном мессенджере Riot. Разработкой занимались специалисты Межведомственного управления цифровых информационных систем и коммуникаций (DINSIC) под патронажем Национального агентства Франции по безопасности информационных систем (ANSSI). Предполагается, что Tchap заменит госслужащим, органам власти и избранным частным организациям прочие средства коммуникации, такие как Telegram, Signal, WhatsApp, Wickr и так далее.
Спустя всего несколько часов после релиза исходных кодов, независимый ИБ-специалист Батист Робер (Baptiste Robert) обнаружил в мессенджере опасную уязвимость. Фактически баг позволяет любому пользователю с зарегистрированным аккаунтом шпионить за внутренними коммуникации французского правительства. Например, исследователь шутит, что он совсем не хотел знать о том, что сотрудники Министерства сельского хозяйства уже создали группу «для тех, кто любит все желтое».
Робер пишет, что просто добавив к своей обычной почте правительственный домен (@gouv.fr или @elysee.fr), он сумел зарегистрироваться в приложении, чего никак не должно было произойти. Идея заключалась в том, чтобы ввести в приложение адрес вида «имя@домен.ком@домен-француского-правительства.com». Для эксплуатации бага исследователю пришлось нагуглить существующий почтовый ящик на elysee.fr, но других трудностей не возникло.
Разработчики Riot уже подготовили патч для найденной Робером проблемы, исправление должно добраться до конечных пользователей Tchap в ближайшие дни.
Читайте также
Последние новости
2009-2024 © Все права защищены.
This website - is fan-site, not an official Huawei website. The Huawei logo is a trademark of Huawei Technologies. Other trademarks are the property of their respective owners.
|