Tchap は、国家の主権データの機密性を高めるために、特定の公務員間の情報交換を安全にすることを目的とした新しい政府アプリケーションです。しかし奇妙なことに、そのリリースから 24 時間も経たないうちに、フランスのセキュリティ研究者が重大な欠陥を発見しました。
2019年4月17日(水)よりニュースがダウンロードできるようになりましたTchapメッセージングアプリケーションPlay ストアと App Store で。しかし、それはすべての人を対象としたものではありません。Tchap は、特定の公務員および州職員がアクセスできるアプリケーションです。目的は、「移動中またはオフィスのワークステーションから機密情報または機密性の低い情報を交換」できるようにすることです。
エンドツーエンドで暗号化されることに加えて、この情報はサードパーティのサービスではなく政府のサーバーに保存されます。ワッツアップまたは電報。 Tchap にアクセスするには、専門的な電子メール アドレスが必要です。つまり、@gouv.fr や esee.fr などのドメインを持つアドレスのみがアクセスできます。しかし、リリースから 24 時間も経たないうちに、安全であると思われていたこのメッセージング アプリケーションに欠陥が発見されました。
ほんの数時間しかかからなかったので、この質問は尋ねる価値があります。エリオット・アンダーソン、フランスのセキュリティ侵害ハンターアプリケーションの最初の脆弱性を特定します。他にいないことを祈ります。
«ちょうど見ました#チャップフランス政府による新しい安全なアプリ。そして、なんと、結果はひどいものです。@エリゼ @政府FR @フィリップPM @エマニュエル・マクロンどうやって連絡すればいいですか?これは非常に緊急です”。
ホワイトハッカーが警告を発したのは、Twitter に公開されたこのメッセージを通じてでした。 01net サイトから連絡を受けた彼は、その内容についてもう少し詳しい情報を提供してくれました。
「理論的には、このアプリケーションは政府職員、つまり gouv.fr または elysee.fr に電子メール アドレスを持つ人々向けに予約されています。登録時のメールアドレスのフィルタリングの問題により、正式なメールアドレスを持たずにエリゼ社員としてアプリに登録することができました。そのため、すべての公開ルームや登録されている人々のプロフィールなどにアクセスできるようになりました。」
具体的には、研究者は「@」を追加します。[メールで保護されています]» 彼のアドレスに、それは彼に許可を与えた「サーバー側のセキュリティチェックに合格し、私の個人アドレスで検証メールを受信するため」と彼は01netに語った。この技術は、欠陥がすぐに修正されたため、他のハッカー、特にフォースのダークサイドに位置するハッカーにとっては、最終的には役に立たないでしょう。
「午後 1 時頃に修正プログラムをデプロイしました。 »Tharpアプリケーションのベースとなっている通信プロトコルであるMatrixを開発する会社が、今週木曜日4月18日に公開されたツイートで発表した。
![[解決済み] キーボードが Qwerty でスタックし、Swype が表示されなくなりました](https://yumie.trade/statics/image/placeholder.png)
