Предполагается, что зарегистрироваться в мессенджере можно только с правительственной электронной почтой.
Французский исследователь безопасности Робер Батист (Robert Baptiste), известный в Twitter как Elliot Alderson, обнаружил уязвимость в выпущенном недавно защищенном мессенджере правительства Франции.
Разработанное французским правительством приложение для обмена сообщениями Tchap защищено сквозным шифрованием, и получить к нему доступ могут только политики и официальные лица, чьи электронные адреса связаны с государственными учреждениями. Мессенджер был создан с целью обезопасить данные депутатов, министров и чиновников, хранящиеся на серверах на территории страны, от возможных попыток перехвата другими государствами.
Tchap создан на базе клиента Riot – мессенджера с открытым исходным кодом, использующего для сквозного шифрования протокол Matrix (тот самый Matrix, чьи серверы были атакованы на прошлой неделе). Хотя приложение доступно в Google Play Store, зарегистрироваться в нем можно только с правительственным электронным адресом, например, @gouv.fr или @elysee.fr.
Исследователю безопасности Роберу Батисту удалось найти в мессенджере уязвимость, позволяющую зарегистрировать учетную запись с любой электронной почтой и получить доступ к группам и каналам, не имея правительственной учетной записи. Батист продемонстрировал, как с помощью уязвимости в механизме валидации электронной почты в Android-версии Tchap можно создать учетную запись с обычной почтой.
Батист уведомил о проблеме команду Matrix, и вскоре она была исправлена.
