Francuski Tchap miał być lepszy od WhatsAppa. Włamano się na niego już pierwszego dnia

Tchap to francuski rządowy komunikator reklamowany jako lepszy od WhatsAppa i innych aplikacji szyfrujących wiadomości. Niestety okazał się on być zwykłym bublem, co boleśnie zostało wytknięte już na bardzo wczesnym etapie życia produktu.

Szumne zapowiedzi, wielkie deklaracje

17 kwietnia to data uruchomienia aplikacji Tchap, francuskiego rządowego komunikatora opartego na opensource’owym protokole Matrix oferującym pełne szyfrowanie wiadomości od adresata do odbiorcy. Nagłówki prasy lokalnej i popularnych serwisów internetowych informowały, że superbezpieczny program, który ma zastąpić WhatsAppa i Telegrama jest już dostępny. Rozwiązanie wprowadzone przez francuskie władze miało prosty cel: zapewnienie krajowego rządu, że treść poufnych, prowadzonych przez internet rozmów między pracownikami administracji państwowej, w tym ministerstw, nie trafi w niepowołane ręce. Okazało się jednak, że napisana w Pythonie aplikacja absolutnie nie poradziła sobie z ciężarem tego zadania.

Zderzenie z rzeczywistością

Pewność siebie twórców przekonanych o wysokiej jakości swojego produktu została wystawiona na bolesną próbę. Francuski ekspert od cyberbezpieczeństwa, Elliot Alderson, już dzień po oficjalnej premierze aplikacji był w stanie złamać jej zabezpieczenia i przeglądać, o czym rozmawiają urzędnicy. Alderson bardzo szybko zauważył, że w napisanym w Pythonie module wykorzystanym do stworzenia aplikacji znalazł się błąd umożliwiający rejestrację konta w Tchap praktycznie wszystkim, zamiast – jak to powinno mieć miejsce – bardzo ograniczonej grupie pracowników administracji wysokiego szczebla. Badacz zagrożeń związanych z cyberbezpieczeństwem oczywiście wykorzystał dostępną lukę do zarejestrowania się w aplikacji, a następnie zaczął przeglądać udostępnione przez urzędników tablice i grupy. Wówczas to okazało się między innymi, że pracownicy Ministerstwa Rolnictwa stworzyli w aplikacji tzw. “żółty pokój” – idealne miejsce dla wszystkich fanów koloru żółtego. Na szczęście “haker” bardzo szybko poinformował francuski rząd o zaistniałej sytuacji, a reakcję władz na jego zgłoszenie należy uznać za naprawdę sprawną. Już dwie godziny później luka została zneutralizowana przez osoby stojące za projektem Matrix, które później opisały całą sprawę na swojej stronie.

Relacja “hakera”

Elliot Alderson, któremu francuski rząd zawdzięcza szybkie wykrycie luki w zabezpieczeniu, na swoim blogu w serwisie Medium sugeruje, że utrzymane w hurraoptymistycznym tonie nagłówki serwisów informujących o premierze aplikacji Tchap potraktował jako swoiste wyzwanie. Zdradza on, że newsy poświęcone “bardzo bezpiecznej aplikacji, która już niedługo zastąpi WhatsApp i Telegram” obudziły w nim wspomnienie jego pracy przy Kimbho, indyjskim projekcie, który też miał być nowym WhatsAppem. Miał być, bo – jak można się domyślić – projekt nie skończył dobrze i z całą pewnością nie przyczynił się do chlubnego postrzegania stojących za nim developerów. Już po kilku godzinach od jej premiery w zeszłym roku aplikacja została usunięta z Google Play w związku z niewystarczającym stopniem ukończenia produktu. Wiele mówiło się wówczas również o posądzeniach o kradzież rozwiązań wykorzystywanych w innych komunikatorach i ogromnych lukach bezpieczeństwa.

Alderson zdradza, że już po chwili zabawy z francuską rządową aplikacją okazało się, że skojarzenia z indyjskim bublem były całkiem uzasadnione, a zabezpieczenie polegające na wymaganiu posiadania adresu mailowego w domenie rządowej (@gouv.fr lub @elysee.fr) można obejść w mniej niż godzinę.

Jeśli chodzi o bezpieczeństwo danych w internecie, to nawet najwięksi gracze nie mają ostatnio dobrej passy i francuski rząd nie jest tutaj wyjątkiem. Niedawno informowaliśmy o wycieku danych dotyczących 4 tysięcy funkcjonariuszy amerykańskich służb, a wcześniej pisaliśmy m.in. o dziwacznej awarii narażającej na ujawnienie danych postronnych użytkowników paczkomatów InPost.

Źródło: medium.com, chip.pl

Patronujemy

 
 
Polecamy
Rosyjscy hakerzy w akcji. Przeskanowali co najmniej 20 amerykańskich instytucji