法国政府开发的加密通讯 app 不堪一击，在数小时内即被攻破

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

一名白帽黑客成功攻破法国政府新发布的一款加密通讯 app。这款 app 本应仅供邮件账户和政府身份相关联的官员和政府人员所使用。

这款 app 名为“Tchap”，它是一款端对端加密的开源通讯 app，是由法国政府开发的，旨在将官员、议员和部长的数据保留在法国境内，以免被外国机构用于监控其通信内容。

Tchap app 使用 Riot 客户端构建而成。Riot 客户端是一款开源即时通讯软件，为端对端加密通信实现自托管的 Matrix 协议。

没错，这就是之前被曝服务器遭黑客攻击并导致未加密私人信息、密码哈希、访问令牌和 GPG 密钥遭泄露的 Riot and Matrix。Matrix 遭受的攻击非常严重，最终强制其维护人员关闭整个服务的生产基础设施且长达数小时事件，且导致所有用户无法访问 Matrix.org。

尽管任何人均可从谷歌应用商店中下载 Tchap app，拥有由政府发布的邮件账户的用户例如 @gov.fr 或 @elysee.fr 的用户才能注册并访问。

然而，法国安全研究员（推特昵称为 Elliot Alderson）Robert Baptiste 在其中找到一个安全漏洞，可导致任何人注册 Tchap 账户并访问群组和信道，而无需具有官方邮件账户。

Robert 在博客文章中展示了如何通过利用 Tchap 安卓 app 潜在的一个邮件验证 bug，使用普通的邮件 ID 注册该服务。

Robert 将问题告知 Matrix 团队，后者快速发布补丁，但仅修复 DINSIC matrix 部署中的问题。

具体技术分析请见：

https://medium.com/@fs0c131y/tchap-the-super-not-secure-app-of-the-french-government-84b31517d144。

原文链接

https://thehackernews.com/2019/04/france-Tchap-secure-messenger.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。