Tchap, aplikacja do komunikacji, która została stworzona przez francuski rządu w celu zabezpieczenia wewnętrznej komunikacji urzędników, ministrów oraz parlamentarzystów z powodu obaw przed szpiegowaniem komunikacji francuskich władz przez zagraniczne agencje wywiadowcze, została opracowana na bazie kodu źródłowego Riot, otwartego oprogramowania, które wykorzystuje protokół Matrix do komunikacji end-to-end.
Aplikacja francuskiego rządu jest dostępna w sklepie Google Play, co oznacza, że każda osoba na świecie może ją pobrać. Jednak do używania jej potrzebne jest konto e-mail w jednej z dwóch domen rządowych: gouv.fr lub elysee.fr. Dzięki takiemu adresowi możliwe jest założenie konta.
Robert Baptiste, francuski ekspert do spraw zabezpieczeń, znany też jako Elliot Alderson, znalazł poważną lukę w zabezpieczeniach aplikacji, która mogłaby umożliwić atak niemal każdemu poprzez założenie konta w aplikacji Tchap. Tym samym osoba postronna mogłaby uzyskać dostęp do wszystkich grup oraz kanałów bez konieczności posiadania konta pocztowego w domenie gouv.fr i elysee.fr.
W jaki sposób? Otóż programiści tworzący aplikację napisali błędny kod odpowiedzialny za sprawdzanie poprawności adresu e-mail. Wystarczyło do dowolnego adresu dopisać jakikolwiek adres rządowy.
Przykładowo: przykladowy@protonmail.ch@presidence@elysee.fr
Jak widać, wystarczyło jedynie do adresu email dopisać inny, losowy adres w rządowej domenie. Dzięki temu można było zalogować się jako pracownik Pałacu Elizejskiego i mieć dostęp do wszystkich grup i kanałów w aplikacji. Wszystko to dokładnie opisał Robert Baptiste na swoim blogu.
Baptiste zgłosił wykrytą lukę w zabezpieczeniach zespołowi programistów, którzy szybko poprawili kod.
Chcesz wiedzieć więcej? Polub i obserwuj nas na Facebooku. Jesteśmy także na Twitterze. Zapraszamy na naszą grupę dyskusyjną.