Tchap 主权消息服务自昨天在 Google Play 和 Apple App Store 上架以来,已经成为法国安全研究人员“Elliot Alderson”发现的第一个重大缺陷的受害者。今天早上,他在一条推文中表示,他能够检查该移动应用程序。据他介绍,结果是“可怕”发现的问题是“三三急”。因此,他建议不要使用此应用程序,直至另行通知。
我刚刚看了#查普法国政府推出的新安全应用程序。而且,该死的结果是可怕的。@爱丽舍宫 @政府FR@EPhilippePM@伊曼纽尔马克龙我怎么联系你?这是非常非常紧急的。
如果你有联系方式我很感兴趣。
— 巴蒂斯特·罗伯特 (@fs0c131y)2019 年 4 月 18 日
与此同时,安全研究人员联系了国家服务机构和底层通信协议 Matrix 的开发人员。他们在创纪录的时间内创建了一个补丁,并于今天下午早些时候进行了部署。在一条推文中,Matrix 开发人员认为没有其他人利用了这个缺陷,这是个好消息。
我们提供了修复程序,并于欧洲中部时间 13:00 左右部署;该问题尚未被其他人利用@fs0c131y。我们目前正在仔细检查其他部署中是否存在相同问题的任何实例。
— Matrix.org 基金会 (@matrixdotorg)2019 年 4 月 18 日
到底是关于什么的? 01net.com 联系了该研究人员,他向我们解释说,他发现了该应用程序访问控制中的一个缺陷。“理论上,该应用程序是为政府雇员保留的,换句话说,电子邮件地址为 gouv.fr 或 elysee.fr 的人。由于注册时电子邮件地址存在过滤问题,我在没有正式电子邮件地址的情况下成功在应用程序上注册为爱丽舍宫员工。因此,我获得了所有公共房间的访问权限、注册人员的个人资料等。 »,他向我们解释道。为了证明这一点,他向我们发送了屏幕截图。
具体来说,埃利奥特·奥尔德森只是简单地使用了他的个人电子邮件地址,并在其中添加了“@[电子邮件受保护]”。这一招让他“通过服务器端安全检查并通过我的个人地址接收验证电子邮件”,他指出。
更新于 04/19/2019:此缺陷的根源是 Matrix 协议中使用的 Python 模块中的错误,在本例中为“email.utils”。其中包含一个名为“parseaddr”的方法,用于检查字符串是否确实是电子邮件地址的形式。不幸的是,正如埃利奥特·奥尔德森(Elliot Alderson)在推文中所表明的那样,她做得不太好。
📢 技术主题 📢
事实上,我发现的漏洞#查普是来自 Python email.utils 模块的问题😨
parseaddr 方法看起来很糟糕,你根本不应该使用它。让我告诉你原因。 1/pic.twitter.com/qvEEqo9Usn
— 巴蒂斯特·罗伯特 (@fs0c131y)2019 年 4 月 19 日
无论如何,这对 Tchap 来说是一个非常糟糕的开始,这种新的安全国家消息传递应该取代 WhatsApp 和 Telegram 在各部委中的使用。在 Twitter 上,其他安全专家也质疑该应用程序的“主权”方面,即它是否会使用 Google Web 服务,在本例中是 Firebase Messaging 推送通知服务。这不会危及所交换消息的机密性,因为它们在任何情况下都是端到端加密的。然而,这可能会给元数据带来风险。
我查看了 Tchap 3 分钟应用程序……
1. 每个部门有一个端点 🤣
2.一切都由CloudWatt托管(在84.39.35.0/23范围内)
3. 它是 Riot[.]im(因此它在后端使用 Google Firebase Messaging)pic.twitter.com/CvN1f5azMr— newsoft (@newsoft)2019 年 4 月 17 日
本文在首次发布后进行了编辑,以包含有关安全漏洞的详细信息。
