Мессенджер правительства Франции оказался уязвим

Любой пользователь мог попасть в защищенный мессенджер правительства Франции, предназначенный для политиков и чиновников.

Как пишет SecurityLab, французский исследователь безопасности, обнаружил уязвимость в выпущенном недавно защищенном мессенджере правительства Франции.

Разработанное французским правительством приложение для обмена сообщениями Tchap защищено сквозным шифрованием, и получить к нему доступ могут только политики и официальные лица, чьи электронные адреса связаны с государственными учреждениями.

Мессенджер был создан с целью обезопасить данные депутатов, министров и чиновников, хранящиеся на серверах на территории страны, от возможных попыток перехвата другими государствами. Хотя приложение доступно в Google Play Store, зарегистрироваться в нем можно только с правительственным электронным адресом, например, @gouv.fr или @elysee.fr.

Tchap создан на базе клиента Riot — мессенджера с открытым исходным кодом, использующего для сквозного шифрования протокол Matrix.

Эксперты нашли в мессенджере уязвимость, позволяющую зарегистрировать учетную запись с любой электронной почтой и получить доступ к группам и каналам, не имея правительственной учетной записи. С помощью уязвимости в механизме валидации электронной почты в Android-версии можно было создать учетную запись с обычной почтой.

Обсудить на странице: вконтакте, фейсбук, твиттер