Французский защищенный госмессенджер взломан сразу после запуска
23 апр 2019 18:40 #80292
от ICT
ICT создал тему: Французский защищенный госмессенджер взломан сразу после запуска
Взлом французского Telegram Французское правительство запустило собственный мессенджер под названием Tchap, который должен защитить переписку госслужащих от взлома иностранными хакерами, а также от манипуляций с данными со стороны технологических компаний. Исходный код мессенджера был опубликован на GitHub, а в магазинах для iOS и Android появились соответствующие приложения. Через два дня в Tchap была обнаружена серьезная уязвимость, которую нашел исследователь безопасности Батист Робер (Baptiste Robert), в интернете известный также как @fs0c131y или Elliot Alderson. Доступ к мессенджеру имеют только правительственные служащие — для регистрации требуется наличие электронного почтового ящика, который оканчивается на @gouv.fr или @elysee.fr. Но Робер сумел создать себе аккаунт в мессенджере несмотря на то, что не является госслужащим. Он просто добавил @elysee.fr в конце своего адреса, и этого оказалось достаточно для регистрации. После этого исследователь получил возможность просмотреть групповые публичные чаты — так называемые «залы» — в мессенджере, а также увидел информацию профилей сотрудников различных министерств. Техника взлома В процессе регистрации нового пользователя в Tchap указанный им электронный адрес сверяется со списком существующих правительственных почтовых ящиков. Проанализировав код пакета Tchap в магазине Google Play, Роберт с помощью прокси-инструмента Frida изменил запрос на регистрацию аккаунта таким образом, чтобы указать в нем специально созданный адрес. Этот адрес представлял собой формулу fs0c131y@protonmail.com@presidence@elysee.fr, где Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript. — это официальный ящик Елисейского дворца, резиденции президента Франции.
http://filearchive.cnews.ru/img/news/2019/04/23/tchap700.jpg
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.