法國為了加強政府機關之間的通訊安全,採用開源的端對端加密通訊協定Matrix打造了Tchap傳訊程式,同時規定只有使用政府機關的電子郵件帳號才能註冊,並在4月17日於App Store及Google Play上釋出了Tchap測試版,然而,法國的資安研究人員Baptiste Robert(網名Elliot Alderson‏)隔天就找到了Tchap的安全漏洞,成功註冊了Tchap帳號,滲透Tchap的群組聊天室。

Tchap專案的目的在於打造一個端對端加密的安全通訊平台,既有行動程式,也可自網頁登入,所分享的附加檔案需經防毒軟體掃描,而且存放在法國。該專案是由法國的國家數位訊息通訊部(DINSIC)主導,並在資訊系統安全局(ANSSI)、軍隊部與外交部的通力合作下完成,打算作為法國所有政府機關的專用傳訊程式,也會允許外部的合作單位加入,歷經了數月以及數千名官員的內部測試,甫於日前釋出了測試版。

至於法國安全研究人員Baptiste Robert則是在隔天下載了Tchap,發現它必須要使用@ gouv.fr 或 @ elysee.fr等政府機構的郵件信箱才能註冊,於是他搜尋了某個政府官員的電子郵件信箱,再加上自己的電子郵件信箱,如「fs0c131y @ protonmail.com @ presidence @ elysee.fr」然後就在自己的郵件信箱收到註冊信了。

成功註冊Tchap的Robert,還潛入了該平台上的多個公開聊天室。

儘管接到Robert通知的Matrix,很快就修補了該協定用來驗證電子郵件位址的身分伺服器Sydent,但已讓法國政府臉上無光。

法國政府則說將會持續改善Tchap測試版,也會聽取外部專家的意見,而且已準備推出針對Tchap的抓漏獎勵計畫。


Advertisement

更多 iThome相關內容