Tchap 主權訊息服務自昨天在 Google Play 和 Apple App Store 上架以來,已經成為法國安全研究人員「Elliot Alderson」發現的第一個重大缺陷的受害者。今天早上,他在一條推文中表示,他能夠檢查該行動應用程式。據他介紹,結果是“可怕”發現的問題是“三三急”。因此,他建議不要使用此應用程序,除非另行通知。
我剛剛看了#查普法國政府推出的新安全應用程式。而且,該死的結果是可怕的。@愛麗舍宮 @政府FR@EPhilippePM@伊曼紐馬克宏我怎麼聯絡你?這是非常非常緊急的。
如果你有聯絡方式我很有興趣。
— 巴蒂斯特·羅伯特 (@fs0c131y)2019 年 4 月 18 日
同時,安全研究人員聯繫了國家服務機構和底層通訊協定 Matrix 的開發人員。他們在創紀錄的時間內創建了一個補丁,並在今天下午早些時候進行了部署。在一條推文中,Matrix 開發人員認為沒有其他人利用了這個缺陷,這是個好消息。
我們提供了修復程序,並於歐洲中部時間 13:00 左右部署;該問題尚未被其他人利用@fs0c131y。我們目前正在仔細檢查其他部署中是否存在相同問題的任何實例。
— Matrix.org 基金會 (@matrixdotorg)2019 年 4 月 18 日
到底是關於什麼的? 01net.com 聯繫了該研究人員,他向我們解釋說,他發現了該應用程式存取控制中的一個缺陷。「理論上,該應用程式是為政府僱員保留的,換句話說,電子郵件地址為 gouv.fr 或 elysee.fr 的人。由於註冊時電子郵件地址存在過濾問題,我在沒有正式電子郵件地址的情況下成功在應用程式上註冊為愛麗舍宮員工。因此,我獲得了所有公共房間的訪問權限、註冊人員的個人資料等。 »,他向我們解釋。為了證明這一點,他向我們發送了螢幕截圖。
具體來說,埃利奧特·奧爾德森只是簡單地使用了他的個人電子郵件地址,並在其中添加了“@[電子郵件受保護]」。這一招讓他“透過伺服器端安全檢查並透過我的個人地址接收驗證電子郵件”,他指出。
更新於 04/19/2019:此缺陷的根源是 Matrix 協定中使用的 Python 模組中的錯誤,在本例中為「email.utils」。其中包含一個名為“parseaddr”的方法,用於檢查字串是否確實是電子郵件地址的形式。不幸的是,正如埃利奧特·奧爾德森(Elliot Alderson)在推文中所表明的那樣,她做得不好。
📢 技術主題 📢
事實上,我發現的漏洞#查普是來自 Python email.utils 模組的問題😨
parseaddr 方法看起來很糟糕,你根本不應該使用它。讓我告訴你原因。 1/pic.twitter.com/qvEEqo9Usn
— 巴蒂斯特·羅伯特 (@fs0c131y)2019 年 4 月 19 日
無論如何,這對 Tchap 來說是一個非常糟糕的開始,這種新的安全國家訊息傳遞應該取代 WhatsApp 和 Telegram 在各部會中的使用。在 Twitter 上,其他安全專家也質疑該應用程式的「主權」方面,即它是否會使用 Google Web 服務,在本例中是 Firebase Messaging 推播通知服務。這不會危及所交換訊息的機密性,因為它們在任何情況下都是端對端加密的。然而,這可能會對元資料帶來風險。
我查看了 Tchap 3 分鐘應用程式…
1. 每個部門有一個端點 🤣
2.一切都由CloudWatt託管(在84.39.35.0/23範圍內)
3. 它是 Riot[.]im(因此它在後端使用 Google Firebase Messaging)pic.twitter.com/CvN1f5azMr— newsoft (@newsoft)2019 年 4 月 17 日
本文在首次發布後進行了編輯,以包含有關安全漏洞的詳細資訊。
