2019. április 24. 10:54, Szerda
A szolgáltatás a kormányhivatalnokoknak készült, de egy szakértő már az első napokban talált benne biztonsági hibát.
A francia kabinet a Tchap nevű azonnali üzenetküldő alkalmazást azért
fejlesztette ki, hogy a hivatalnokok azt használják a WhatsApp és más megoldások helyett. A program a múlt hét óta érhető el és a Matrix nevű szabad szoftverre épül
Baptiste Robert biztonsági kutató (alias Elliot Alderson) nem tétlenkedett és már az indulás után egy súlyos hiányosságra derített fényt. Sikerült ugyanis jogosulatlan személyként regisztrálnia magát, majd bejelentkeznie a rendszerbe. További sebezhetőségeket is talált, amelyek viszont a Matrix fejlesztői szerint nem hibák.
A szakember
saját összeállítást készített, amelyből kiderült, hogy eleinte a Tchap alkalmazással akart egy kicsit foglalkozni, amely a Google Play Store kínálatában is elérhető. A szolgáltatás használatához ugyanakkor a francia kormány hivatalos e-mail-címére van szükség. Ő viszont ezt a korlátozást könnyedén ki tudta játszani: egyszerűen egy érvényes e-mail-címet (
[email protected]) tett a saját e-mail-címe mögé és meg is kapta a szükséges hozzáférési kódot. Ezután azonnal jelentette a hiányosságot az illetékeseknek, akik azt a Matrix fejlesztőivel közösen
befoltozták azt.
Robert azonban a
Twitteren panaszkodott a Matrix-csapat kommunikációjával kapcsolatban. A szakértők ugyanis a sebezhetőséget először a francia kabinet specifikus hibájaként tüntették fel, holott az a Matrix szoftver kódjában van. Ráadásul az alkalmazott avatárok és a kormányzati chatbeszélgetések résztvevőinek teljes nevei is láthatók voltak. Erről szintén értesítette az illetékeseket. A Matrix-csapat tagjai szerint viszont ez nem hiányosság volt, hanem egy funkció, amely azt segíti elő, hogy más felhasználókat is meg lehessen találni a rendszerben.
A TechCrunch arról
írt, hogy a Tchap végpontok közötti titkosítást használ és az alapja a Riot nyílt forráskódú projekt, ami a Matrix protokollra épül. Az adatok megosztása pedig kizárólag francia szervereken keresztül történik.