خطأ في استبدال WhatsApp للحكومة الفرنسية دع أي شخص ينضم إلى محادثات الإليزيه

صفوف من الناس يرتدون الزي العسكري يسيرون في قصر تكبير / في نفس الوقت تقريبا الرئيس الفرنسي كان في استقبال رجال الاطفاء الذين أنقذت كاتدرائية نوتردام من النار ، وكان باحث الأمن حرق تطبيق دردشة “آمن” جديد للحكومة الفرنسية المسؤولين يهدفون إلى ابعادهم عن ال WhatsApp و Telegram. كريستيان بومر / تحالف صور عبر Getty Images

في 17 أبريل ، قدمت الحكومة الفرنسية جهاز Android تطبيق يعني لاستخدامها من قبل موظفي الحكومة باعتبارها الداخلية قناة آمنة للاتصالات. دعا Tchap ، كان توصف بأنها استبدال WhatsApp و Telegram ، مع توفير (نظريًا) كليهما مجموعة وقنوات الرسائل الخاصة التي الناس فقط مع يمكن أن تنضم عناوين البريد الإلكتروني الحكومية.

ليس المقصود Tchap أن تكون الاتصالات سرية النظام — يعمل على هواتف Android العادية ويستخدم الجمهور الانترنت. ولكن كما DINSIC ، المديرية المشتركة بين الوزارات الفرنسية لأنظمة المعلومات التي تدير Tchap وضعه ، Tchap “هو رسول فوري يسمح لموظفي الحكومة بالتبادل المعلومات في الوقت الحقيقي على القضايا المهنية اليومية ، وضمان أن المحادثات لا تزال مستضافة على الوطنية الأراضي “. وبعبارة أخرى ، هو الحفاظ على الحكومة الرسمية قم بإيقاف تشغيل خوادم Facebook و Telegram بالخارج فرنسا.

بناءً على تطبيق الدردشة Riot.im من المصدر المفتوح مصفوفة المشروع ، Tchap لا يزال رسميا في “بيتا” ، وفقا ل DINSIC. وبدأ اختبار بيتا هذا بداية صعبة. في غضون يومين ، باحث الأمن الفرنسي بابتيست روبرت – الذي يمر لقد تم استغلال مقبض Twitter @ fs0c131y (المعروف أيضًا باسم إليوت ألدرسون) تشاب وبعد ذلك ينظر إلى كل من “الجمهور” الداخلي قنوات المناقشة التي تستضيفها الخدمة.

على الجانب المشرق ، استجاب DINSIC بسرعة ، والوكالة هي تحتضن الآن مدخلات من الباحثين في مجال الأمن للمساعدة في جعل تطبيق أكثر أمنا. ولكن كما هو الحال مع العديد من “التحول الرقمي” المشاريع ، وقد تم هذا واحد مع قليلا قبل قليل جدا التخطيط للأمن.

أنا الرئيس!

خوادم الاسم التي أنشأتها الإدارات والوزارات في كانت الحكومة الفرنسية التي تدير كود ماتريكس تقوم بتحليل البريد الإلكتروني العناوين المقدمة للحسابات الجديدة للتحقق من القائمة عناوين البريد الإلكتروني داخل خدمات الدليل الخاصة بهم. بعد القيام بالكود تحليل على حزمة Tchap نشرها على متجر جوجل ، روبرت استخدم أداة وكيل Frida لتغيير طلب ويب لحساب جديد من التطبيق لتمرير قيمة عنوان البريد الإلكتروني وضعت أن المطعمة له العنوان الخاص على حساب معروف في الدليل المستهدف server—[email protected] ، عنوان البريد الإلكتروني الرسمي لل إليزيه ، المقر الرسمي لرئيس فرنسا. القيمة إرسالها إلى الخادم تستخدم رمز @ لفصل العنوانين (anaddress @ protonmail.com @ presidence @ elysee.fr).

بسبب طريقة خدمة الدليل التحقق من صحة البريد الإلكتروني العنوان ، تطابق العنوان في النصف الثاني من الزوج مع العنوان المعروف. لكن الكود الذي قام بتحليل عنوان التحقق من صحة البريد الإلكتروني على جانب الخادم ، والتي بنيت مع وحدة بيثون email.utils ، قلصت من كل شيء بعد الأول عنوان صالح. وهذا يعني أن روبرت حصل على بريد إلكتروني مرة أخرى للتحقق منه من الحساب ، والخادم يعتقد أن العنوان كان مسؤول حساب حكومي.

في غضون ساعتين من تنزيل التطبيق ، كان لدى روبرت أ تم التحقق من صحة الحساب وظهر للنظام ليكون Élysée موظف. منذ ترتبط جميع الحسابات على النظام مباشرة حسابات البريد الإلكتروني الرسمية لمسؤولي الحكومة الفرنسية ، هو وبالتالي كان لديه الوصول إلى معلومات الملف الشخصي حول الموظفين في وزارات متعددة.

اتصل روبرت بالإليزيه ، والذي قام بدوره بالاتصال بشركة DINSIC. في غضون ساعة ، تم تعليق إنشاء الحساب ؛ كان التصحيح نشر واستعادة الخدمة ما يزيد قليلا عن ثلاث ساعات في وقت لاحق. DINSICأكد أن ألدرسون لم يتمكن من الوصول إلا إلى “صالات” عامة مرئي لجميع مستخدمي الرسائل وليس مناطق الدردشة الخاصة أو معلومات سرية.

أبلغ روبرت فريق ماتريكس الأمني ​​كذلك تم أخذ الشبكة أسفل كما المطورين إعادة بناء المصادقة الشفرة. اعتبارًا من الساعة 4:00 مساءً بتوقيت شرق الولايات المتحدة حتى اليوم ، ما زال موقع Matrix الإلكتروني يتم الإبلاغ عنه كانت أجزاء الشبكة معطلة بسبب “صيانة الطوارئ”.

إعادة بناء الحالة: إلى حد كبير جميع الأنظمة الرئيسية ل https://t.co/vidAnPoIo2 عادت عبر الإنترنت. جميع الأعداد الصحيحة تعمل الآن مرة أخرى ، تقريبا كل الجسور عادت. كل https://t.co/1bhym6Xh6K الجديد ؛ جديد مدونة. شكرًا على سعة صدرك وتفهمك أثناء قيامنا بذلك بت الماضي (مثل fedtester).

– Matrix (matrixdotorg) 18 أبريل ، 2019

لهذا السبب يسمونه “بيتا”

كان هذا مجرد واحد من خمسة عيوب عثر عليها روبرت في فترة ثلاثة ايام. لكن المشكلة الأكبر كانت أنه لا يوجد عمل يبدو تم القيام به قبل الإصدار التجريبي من Tchap للتأكيد أمن هندستها المعمارية. فريق ماتريكس ، وهو مقرها في المملكة المتحدة ، وأكد لألدرسون عن طريق البريد الإلكتروني ذلك “لم يكن هناك تدقيق أمني على حلهم” – صادمة بشكل كبير شيء كان يتم وصفه كحكومة آمنة أداة اتصالات تهدف إلى أن تكون أكثر أمانا من Telegram و ال WhatsApp.

ردًا على منشورات روبرت حول عيوب تشاب الإضافية ، DINSIC نشر على تويتر:

شكرا على التقرير بعد التحليل ، لا شيء من هذه العناصر من المرجح أن يعرض للخطر المعلومات المحمية. ومع ذلك ، فإننا نعتزم لتطوير Tchap أن تأخذ في الاعتبار إدارة أفضل لل الآلهة. سوف نقوم بالرد عليك عبر البريد الإلكتروني بالتفصيل.

Merci pour le signement. Apres analys aucun de ces éléments n’est de nature à settlementettre des information protégées. عقل comptons toutefois faire évoluer Tchap pour prendre en compte une تجسد الآلهة. Nous vous répondons par email en التفاصيل.

– Tchap (tchap_dinsic) 21 أبريل 2019

منذ ذلك الحين ، ومع ذلك ، أعلنت الحكومة الفرنسية خطأ برنامج المكافآت لتشاب. في بيان صحفي ، متحدث باسم DINSIC قال ، “سوف تكون نسخة Thisbeta عرضة لل المستمر تحسين ، سواء من حيث قابليتها للاستخدام والأمن. سوف DINSIC الاستماع إلى خبراء المجتمع المدني والإرادة تأخذ في الاعتبار أي عودة أنهم سيعودون إليه ل تحسين التطبيق ، كما كان الحال بالنسبة لخطأ – قاصر التأثير – تم اكتشافه في 18 أبريل وتم تصحيحه في غضون ساعات قليلة. ”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: