به گزارش کارگروه حملات سایبری سایبربان؛ دولت فرانسه به تازگی پیامرسانی را به نام تیچپ (Tchap)، منتشر کرد. این برنامه به منظور برقراری ارتباطات رمزگذاری شده بین مقامات و سیاستمداران تولید شد.
تنها ساعاتی پس از انتشار تیچپ، رابرت باپتیسته (Robert Baptiste)، (با نام مستعار fs0c131y)، یک هکر کلاهسفید فرانسوی مشهور، نحوه نفوذ به این پیامرسان را شناسایی کرد.
برنامه بهوسیله بخش بین اداری سیستم اطلاعات و دیجیتال و ارتباطات دولت (DINSIC)، به عنوان یک پروژه تحت کنترل سازمان امنیت سایبری ملی فرانسه (ANSSI) توسعه داده شد. هدف این برنامه، جایگزینی سرویسهای پیامرسان مانند، تلگرام و واتسآپ برای افراد دولتی است.
تیچپ، در ماه آوریل 2019 راهاندازی شد و در فروشگاههای رسمی برنامه اندروید و «iOS» در دسترس است؛ اما فقط کارمندان دولت فرانسه میتوانند در آن عضو شوند.
ویژگی اصلی پیامرسان مذکور، برقراری ارتباطات رمزگذاری شده از طریق سرورهای داخلی است. این کار بهمنظور جلوگیری از انجام حملات سایبری توسط بازیگران خارجی وابسته به دولتها انجام گرفته است.
در هر صورت، دولت فرانسه کد منبع Tchap را در «GitHub» منتشر کرده و بر اساس ریوت (Riot) است. ریوت یک پکیج پیامرسان کلایت-سروری منبع باز شناخته شده است.
باپتیسته، یک اشکال امنیتی پیدا کرد که به هر شخصی اجازه میدهد بدون داشتن حساب کاربری ایمیل دولتی، در برنامه ثبتنام و به گروهها و کانالهای موجود در آن دسترسی پیدا کند.
متخصص یاد شده متوجه شد که با توجه به آدرس ایمیل ارائه شده بهوسیله کاربر، برنامه به سرور آیدی درست اشاره خواهد کرد. این فهرست سرورها در «AndroidManifest.xml» تعریف شده است.
کارشناس مشهور یاد شده نحوه ایجاد یک حساب کاربری با سرویس به کمک یک شناسه عادی ایمیل منظم با استفاده از یک آسیبپذیری اعتبارسنجی بالقوه ایمیل در نسخه اندروید برنامه تیچپ را نشان داد.
وی پس از ورود به عنوان کارمند کاخ الیزه، توانست به گروههای عمومی دسترسی پیدا کند؛ او مسئله مربوط به تیم ماتریکس، توسعهدهنده مشتری ریوت را گزارش داد و پس از رفع سریع اشکال، وصله را منتشر کرد. پچ منتشر شده، تنها برای برنامههای توسعه یافته از سوی اطلاعات فرانسوی خاص بود.
به علاوه وبگاه «Matrix » مدتی قبل به کاربران خود در رابطه با یک نقض امنیتی هشدار داده بود. به کمک این آسیبپذیری هکر میتوانست به پایگاه دادههای پیامهای رمزنگاری نشده، توکنها و رمزهای هش شده دسترسی پیدا کند. براساس گزارش این وبگاه، مهاجم از یک آسیبپذیری شناخته شده در سرور اتوماسیون منبع باز «Jenkins» به منظور ربودن اعتبار و دسترسی به سیستمهای سازمان استفاده کرده است. سرویسهای داخلی، کد منبع و بستهها، سرورهای هویت و سرور «Modular.im» تحت تأثیر قرار نگرفتند.
