法国政府一直在开发一种名为Tchap的即时通讯应用程序,以确保政府员工的对话。周三推出的Tchap被称为“WhatsApp或Telegram等消费类应用的安全替代品”。然而,不到两个小时后,事情看起来并不那么安全,不得不说。在国家信息通信系统(DINSIC)部际理事会的领导下,在法国国家网络安全局(ANSSI),外交部和武装部队的投入下,Tchap项目承诺进行端到端加密对于存储在法国服务器上的消息,其访问权限严格限于政府官员。然而,在发布后的短短90分钟内,法国安全研究员罗伯特·巴蒂斯特(Robert Baptiste)在所谓的超级安全应用程序中掀起了一个巨大的漏洞。
我今天早些时候联系了Baptiste并询问他是否对ANSSI对Tchap开发的监督有什么评论?“任何人都可能犯错误或错过一个漏洞”巴普蒂斯特说,并补充道,因为他并没有“详细了解ANSSI做了什么”,他无法进一步评论。巴蒂斯特当天与法国政府官员进行了电话交谈,当时他透露了Tchap内部的漏洞,但所说的内容尚不清楚。然而,鉴于Tchap旨在作为WhatsApp和Telegram的更安全的替代方案供政府雇员和官员使用,其违反的速度必须引起关注。毕竟,如果一个拥有一点闲暇时间和很多专业好奇心的独立安全研究人员能够在短短90分钟内发现这样一个巨大的安全漏洞,那么法国国家网络安全机构肯定应该像廉价套装一样全力以赴吗?尤其重要的是,Tchap背后的理由是保持对通信安全的更严格控制,并使政府对话远离那些被认为不太安全的第三方服务,如WhatsApp或Telegram。通过将政府对话转移到法国内部服务器上,潜在的外国国家监督的风险意味着降低。
在昨天发表的一份声明中,法国政府表示“DINSIC倾听专家的意见”,并且该漏洞在几个小时内就得到了纠正。它还确认“DINSIC将很快推出一个bug赏金”计划,以帮助检测任何其他潜在的安全问题。