最新網際網路文章

Image credit: Ludovic Marin / Pool Photo via AP

法国政府专用通信 app 在及时修补漏洞后已推出测试版本

Tchap 在推出前一刻被发现了一个能让任何人轻松注册的漏洞。

Lanmo Chang
2019 年 4 月 22 日, 下午 06:00
Ludovic Marin / Pool Photo via AP

基于安全的考量,法国于本月稍早便传出正在测试政府专用通信 app 的消息,虽然如今这款 Tchap 的 beat 版本已正式登场,但回顾其推出的过程却算不上是顺利啊。根据报道,Tchap 兼容 iOS 和 Android 双平台,其所有的私人对话都会经过端到端的加密,同时内建的防毒软件也会扫描所有的附加文件,数据更全部都将存储于法国本地,以带来比市面上 app 更好的安全防护。然而,在如此大费周章的措施之下,Tchap 却在推出前被发现,任何人只要拥有一个法国政府的电子邮件地址,就可以轻松注册登入,也揭露了其安全性的破口。

日前安全研究员 Elliot Alderson(又名 Baptiste Robert)发现,Tchap 对于电子邮件地址的检查并不像应该的那般严格。他仅仅通过把 @elysee.fr(法国总统府邮件地址的后半截)加到自己想使用的电子邮件之后,就顺利地骗过系统并成功注册帐号,验证邮件甚至也顺利发送到了他实际使用的信箱当中。经过如此简单的程序后,他就能看到所有 Tchap 上公开的对话,或是与政府人员进行交谈。

在发现该问题后,Elliot Alderson 便联系了政府与 Riot 开源软件的母公司 Matrix。目前 Matrix 已及时将漏洞修补,避免如此尴尬的状况延续到当前的版本之上。

法国政府的数字代理商 DINSIC 表示,他们将会持续为 Tchap 的安全性和功能作出改进。同时,有鉴于研究人员的通报让上述漏洞得以及时修复,他们也将启动一个除错奖励计划,鼓励安全专家来挑战他们的系统。经过了这次事件,短期内法国的官员们应该还不会将事务的讨论全面转移至 Tchap 上进行。但无论如何,离开 Telegram (法国总统马克宏的最爱)这类大众使用的 app 后,多少能减少官员们对话被入侵窃取的机会吧。