آژانس امنیت سایبری فرانسه تحت حمایت دولت این کشور، هفته گذشته یک برنامه پیامرسان سفارشی با نام Tchap منتشر کرد که ادعا میشود از امنیت بیشتری نسبت به تلگرام و دیگر پیامرسانهای متداول برخوردار است. با این حال، این پیامرسان تنها بهفاصله زمانی یک ساعت پس از انتشار، توسط یک محقق امنیتی فرانسوی مورد آزمایش قرار گرفت و هک شد.
براساس خبرهای منتشر شده، رابرت باپتیست، محقق امنیتی، در همان ساعات ابتدایی انتشار برنامه Tchap، آن را از فروشگاه برنامههای گوگل دانلود کرده و هنگام ساختن حساب کاربری در این پیامرسان، متوجه یک آسیبپذیری امنیتی در آن شده است.
از آنجایی که این برنامه تنها برای کارکنان دولتی که دارای ایمیلهای رسمی هستند ساخته شده است، ایجاد حساب کاربری در آن بهطور کلی برای عموم کاربران محدود شده است. اما نتایج بررسی و گزارشهای منتشر شده نشان میدهد که باپتیست با استفاده از یک ایمیل غیردولتی توانسته است در Tchap حساب کاربری بسازد و به اطلاعات گروههای موجود در آن دسترسی یابد.
براساس اطلاعات موجود، این موضوع بهدلیل ضعفهای ساختاری در مکانیزم اعتبارسنجی ایمیل در زمان ساخت حساب در Tchap رخ داده است که سبب میشود فرآیند ساخت حساب در این پیامرسان دور زده شود.
رابرت باپتیست پس از شناسایی این آسیبپذیری و گزارش آن به سازندگان Tchap برای اصلاح این مشکل امنیتی، با انتشار گزارشی درباره جزئیات این آسیبپذیری گفته است که این پیامرسان تنها اجازه میدهد از ایمیلهایی رسمی با ساختاری مانند «presidence@elysee.fr» برای ساخت حساب استفاده کرد، درصورتی که او از ساختاری مانند «attacker@protonmail.com@presidence@elysee.fr» برای دور زدن مکانیزم اعتبارسنجی نشانی ایمیلها و دریافت کد احراز هویت در «attacker@protonmail.com» استفاده کرده است.
توضیحات بیشتر در:
- France’s ‘Secure’ Telegram Replacement Hacked in an Hour