Preocupados com a segurança e o sigilo das mensagens de seus parlamentares, o governo francês revelou na última quarta-feira (17) um aplicativo próprio de mensagens chamado Tchap, que seria usado de forma exclusiva pelos parlamentares do país para se comunicarem. Mas na quinta-feira (18), apenas um dia depois da revelação oficial do app, a primeira falha de segurança do Tchap veio à tona.
A descoberta da falha foi feita por Elliot Alderson, que conseguiu criar uma conta para acessar o app mesmo ele, teoricamente, sendo restrito apenas para funcionários do governo e parlamentares da França — por isso, para receber o código de confirmação de acesso ao app é necessário possuir um endereço de e-mail @elysee.fr ou @[setor em que se trabalha].gov.fr.
Mas, ao que tudo indica, o sistema de confirmação de endereço precisa ser rapidamente ajustado. Isso porque tudo o que Alderson precisou fazer foi adicionar @elysee.fr no fim de seu endereço de e-mail real (no caso, ele usou o e-mail real fs0c131y@protonmail.com seguido de @presidence@elysse.fr) para receber na sua caixa de entrada os códigos de confirmação necessários para acessar o app.
–
Podcast Porta 101: a equipe do Canaltech discute quinzenalmente assuntos relevantes, curiosos, e muitas vezes polêmicos, relacionados ao mundo da tecnologia, internet e inovação. Não deixe de acompanhar.
–
Alderson rapidamente avisou o time da Matrix (protocolo de código aberto usado para a criação de aplicativos de mensagem com criptografia ponta-a-ponta e que foi a base de desenvolvimento do Tchap) sobre a falha, revelando que ele havia conseguido acessar todas as áreas públicas do aplicativo com os códigos que recebeu.
O problema no sistema de identificação foi provocada por uma conhecida falha no módulo Python (linguagem de programação utilizada para a criação da Matrix), que desde julho de 2018 é conhecido, mas ainda não foi solucionado pelos desenvolvedores. Apesar disso, o time da Matrix conseguiu achar uma solução para a falha e na quinta-feira (18) mesmo disponibilizou um patch de correção para o problema e confirmou que a vulnerabilidade não foi utilizada por mais ninguém além de Alderson.
We provided a fix which was deployed around 13:00 CET; the issue had not been exploited other than by @fs0c131y. We’re currently doublechecking for any instances of the same problem in other deployments.
— Matrix (@matrixdotorg) April 18, 2019
https://platform.twitter.com/widgets.js
O desenvolvimento do Tchap se tornou essencial pelo fato de a equipe do presidente Emmanuel Macron utilizar o Telegram como principal ferramenta de comunicação. O problema do aplicativo é que, ao contrário do WhatsApp, ele não possui criptografia de ponta-a-ponta, permitindo que qualquer hacker — ou mesmo alguém da equipe do aplicativo — que acesse os bancos de dados da empresa consiga ler na íntegra qualquer mensagem enviada por ele. E, quando você utiliza um aplicativo desses para a comunicação oficial entre parlamentares, isso acaba se tornando um problema de segurança.
Oficialmente, o Tchap foi lançado na última sexta-feira (19) pelo governo francês e o Diretório Interministerial de Sistemas de Informação da França (órgão responsável por todas as ferramentas digitais do governo francês) já avisou que continuará procurando por bugs e outras vulnerabilidades que podem comprometer a segurança do app.
Leia a matéria no Canaltech.
Trending no Canaltech:
- Ministro ordena bloqueio de redes sociais e WhatsApp de opositores ao STF
- Correios | Bolsonaro cede e pode permitir privatização da estatal
- Hobbs & Shaw, filme derivado da série Velozes e Furiosos, ganha segundo trailer
- De novo! Trump se inspira em Game of Thrones e arranja confusão com HBO
- Após problemas, Samsung adia lançamento do Galaxy Fold para maio
Canal Tech 