אפליקצית המסרים של ממשלת צרפת רק הושקה - וכבר נפרצה
עמי רוחקס דומבה
| 23/04/2019
חוקר האבטחה רוברט באפטיסט (aka @ fs0c131y) גילה כיצד לפרוץ אל Tchap, אפליקציה חדשה לאבטחת הודעות שהושקה על ידי ממשלת צרפת לצורך תקשורת מוצפנת בין פקידים ופוליטיקאים. האפליקציה פותחה על ידי DINSIC (דירקטורית בינמשרדית של מערכת המידע הדיגיטלית והתקשורת של המדינה), כפרוייקט הנשלט על ידי הסוכנות הלאומית לביטחון סייבר של צרפת (ANSSI). היישום נועד להחליף חלופות הודעות מיידיות כמו טלגרם וWhatsApp עבור אנשי הממשלה.
Tchap הושקה ב -18 באפריל ונכנסה לחנויות הרשמיות של iOS ו- Android, אבל רק עובדי הממשלה הצרפתית (באמצעות חשבונות דוא"ל @ gouv.fr או @ elysee.fr) יכולים להירשם. נקודת המפתח בTchap היא זרימת תקשורת מוצפנת באמצעות שרתים פנימיים כדי למנוע התקפות סייבר על ידי שחקנים זרים של מדינת לאום.
בכל מקרה, ממשלת צרפת פרסמה את קוד המקור של Tchap על GitHub, והיא מבוססת על Riot, יישום ידוע בקוד פתוח המבוסס על מסגרת Matrix.org. החדשות הן כי רוברט מצא כשל אבטחה שיכול לאפשר לכל אחד להירשם לחשבון ביישום Tchap ולקבל גישה לקבוצות וערוצים ללא שימוש רשמי בחשבון הדואר האלקטרוני של הממשלה.
לאחר מחקר קצר, המומחה הראה כיצד ליצור חשבון בשירות באמצעות זיהוי דוא"ל רגיל על ידי ניצול פגיעות פוטנציאלית לאימות דוא"ל בגרסת Android של אפליקציית Tchap. לאחר שנכנס כעובד של אליזה, הוא היה מסוגל לגשת אל החדרים הציבוריים. רוברט דיווח על הבעיה לצוות שפיתח את היישום, וזה במהירות תיקן את הבאג ושחרר תיקון. הטלאי שפורסם היה ספציפי רק ליישום שפותח על ידי המודיעין הצרפתי.
בשבוע שעבר Matrix.org הזהירו משתמשים בגין הפרת אבטחה, כאשר האקר קיבל גישה לא מורשית למסדי נתונים כולל נתוני הודעות לא מוצפנות, אסימוני גישה, וגם hashes של סיסמאות. על פי Matrix.org, התוקף ניצל פגיעות ידועה בשרת אוטומציה קוד פתוח של ג'נקינס כדי לחטוף אישורים ולקבל גישה למערכות הארגון.
מקור: securityaffairs.co
חוקר האבטחה רוברט באפטיסט (aka @ fs0c131y) גילה כיצד לפרוץ אל Tchap, אפליקציה חדשה לאבטחת הודעות שהושקה על ידי ממשלת צרפת לצורך תקשורת מוצפנת בין פקידים ופוליטיקאים. האפליקציה פותחה על ידי DINSIC (דירקטורית בינמשרדית של מערכת המידע הדיגיטלית והתקשורת של המדינה), כפרוייקט הנשלט על ידי הסוכנות הלאומית לביטחון סייבר של צרפת (ANSSI). היישום נועד להחליף חלופות הודעות מיידיות כמו טלגרם וWhatsApp עבור אנשי הממשלה.
Tchap הושקה ב -18 באפריל ונכנסה לחנויות הרשמיות של iOS ו- Android, אבל רק עובדי הממשלה הצרפתית (באמצעות חשבונות דוא"ל @ gouv.fr או @ elysee.fr) יכולים להירשם. נקודת המפתח בTchap היא זרימת תקשורת מוצפנת באמצעות שרתים פנימיים כדי למנוע התקפות סייבר על ידי שחקנים זרים של מדינת לאום.
בכל מקרה, ממשלת צרפת פרסמה את קוד המקור של Tchap על GitHub, והיא מבוססת על Riot, יישום ידוע בקוד פתוח המבוסס על מסגרת Matrix.org. החדשות הן כי רוברט מצא כשל אבטחה שיכול לאפשר לכל אחד להירשם לחשבון ביישום Tchap ולקבל גישה לקבוצות וערוצים ללא שימוש רשמי בחשבון הדואר האלקטרוני של הממשלה.
לאחר מחקר קצר, המומחה הראה כיצד ליצור חשבון בשירות באמצעות זיהוי דוא"ל רגיל על ידי ניצול פגיעות פוטנציאלית לאימות דוא"ל בגרסת Android של אפליקציית Tchap. לאחר שנכנס כעובד של אליזה, הוא היה מסוגל לגשת אל החדרים הציבוריים. רוברט דיווח על הבעיה לצוות שפיתח את היישום, וזה במהירות תיקן את הבאג ושחרר תיקון. הטלאי שפורסם היה ספציפי רק ליישום שפותח על ידי המודיעין הצרפתי.
בשבוע שעבר Matrix.org הזהירו משתמשים בגין הפרת אבטחה, כאשר האקר קיבל גישה לא מורשית למסדי נתונים כולל נתוני הודעות לא מוצפנות, אסימוני גישה, וגם hashes של סיסמאות. על פי Matrix.org, התוקף ניצל פגיעות ידועה בשרת אוטומציה קוד פתוח של ג'נקינס כדי לחטוף אישורים ולקבל גישה למערכות הארגון.
מקור: securityaffairs.co
