法国政府指定通讯软件Tchap在发布几小时后被黑客攻破

Tchap是一款法国政府为官员和政客专门设计的一种新型安全加密通讯软件。但在其发布几小时后，就被著名法国黑客Robert Baptiste挖掘出重大安全漏洞。

该软件是由DINSIC（数字和信息通信系统理事会）所开发的，法国国家网络安全局（ANSSI）监制，旨在取代政府人员数字设备上的Telegram和WhatsApp等流行通讯软件。

Tchap于4月18日推出，可在官方iOS和Android应用商店购买，但仅限法国政府员工使用，只有后缀为@gouv.fr或@elysee.fr的电子邮件才能注册新帐户。

根据其宣传，Tchap是为了防止外国黑客对法国政府部门进行攻击而研制的。法国政府还在GitHub上发布了Tchap的源代码，它是基于著名的开源通讯软件Riot所开发的。

但是，Tchap发布当天，Robert Baptiste就发现了一个安全漏洞，任何人都可以在Tchap上注册帐户并访问群组和频道，无需使用政府后缀的电子邮件。

专家对Tchap进行了动态分析，发现它在身份验证过程中实现了 certificate pinning。即使在Frida中禁用它，在注册过程中，软件也还是会请求令牌。

根据用户所提供的电子邮件地址，软件将引用“正确的”id_server。这代表可用服务器列表，被定义在AndroidManifest.xm l中。

根据发现者的博客文章，具体发现过程如下：

“我将id_server设置为matrix.agent.elysee.tchap.gouv.fr。其中elysee代表法国总统府。当我选择这台服务器时，我猜测我需要一个@elysee.fr后缀的电子邮件地址。所以，在软件发送的requestToken请求中，我修改电子邮件为fs0c131y@protonmail.com@elysee.fr。可惜没有任何反应。于是，我觉得它可能不能识别这个特殊的电子邮件地址。接着我做了一个谷歌搜索，“email @elysee.fr”，看看能不能得到什么特殊信息。

“很快，我又利用requestToken请求做了一次尝试，而最终，我的电子邮件fs0c131y@protonmail.com@presidence@elysee.fr注册成功”。

该专家演示了如何通过利用Android版Tchap应用潜在的电子邮件验证漏洞，来使得常规电子邮件也能注册帐户。

在他伪装成elysee员工登录后，他能够进入公共房间。

Robert向Riot的开发团队Matrix报告了这一问题，其团队在稍后迅速修复了该漏洞。不过发布的补丁仅适用于法国情报部门开发的应用。

有意思的是，上周Matrix.org警告用户有黑客未经授权访问生产数据库，该数据库包括未加密的邮件数据，访问令牌以及密码哈希。

本文转载自白帽汇