Французский госмессенджер сломали сразу после запуска
Семнадцатого апреля французское правительство представило Android-мессенджер Tchap, предназначенный для защищенного внутреннего общения госслужащих; через два дня исследователю в области кибербезопасности Баптисту Роберу (Baptiste Robert) удалось подсоединиться к госмессенджеру и получить доступ ко всем «публичным» чатам пользователей, сообщает ArsTechnica во вторник.
Tchap разработан французским межведомственным управлением по информационным системам (DINSIC) на базе свободного ПО. Напомним, как поясняли в управлении, идея была в том, чтобы данные о переговорах госслужащих оставались на территории Франции, а не уходили на серверы Facebook и Telegram.
Официально Tchap пока находится в стадии бета-тестирования. По словам Робера, за три дня он обнаружил в приложении пять уязвимостей. Главная из них найдена анализом кода (Tchap был доступен для загрузки в Google Play): исследователь смог подменить адрес электронной почты легального пользователя своим адресом, после чего создал учётную запись и проник в закрытый чат.
Робер известил DINSIC о случившемся, после чего регистрацию новых пользователей Tchap остановили.
Также Робер поставил в известность специалистов сообщества разработчиков Matrix.org, чей код использовался для разработки Tchap. В Matrix подтвердили, что аудит их кода на предмет безопасности не проводился, «что странно», пишет ArsTechnica, для продукта, который рекламировался как средство «правительственных коммуникаций», более безопасный, чем Telegram и WhatsApp.
После сообщения эксперта о взломе в DINSIC заявили, что угрозы секретным данным инцидент не создал, и что защиту государственного мессенджера улучшат «в кратчайшие сроки».