Nhiều quan chức trên thế giới bị tấn công mạng qua WhatsApp

Chính phủ Pháp ra mắt ứng dụng nhắn tin thay thế Whatsapp và Telegram, "dính" ngay lỗ hổng bảo mật

Chính phủ Pháp đã công bố mã nguồn của phần mềm nhắn tin tức thời "cây nhà lá vườn" với tên gọi Tchap, hỗ trợ mã hoá đầu cuối nội dung chat.

Theo TechCrunch, chính phủ Pháp đã phát triển ứng dụng nhắn tin tức thời (IM) có khả năng mã hoá tin nhắn đầu cuối nhằm phục vụ nhu cầu sử dụng của các nhân viên chính phủ và thay thế cho các dịch vụ nhắn tin IM của bên thứ ba như Telegram và WhatsApp.

Ứng dụng có tên Tchap của chính phủ Pháp đã được ra mắt chính thức vào ngày hôm qua (18/4), xuất hiện trên kho ứng dụng của hai hệ điều hành iOS và Android. Một phiên bản nền web của ứng dụng này cũng đang được phát triển.

Chỉ có các nhân viên chính thức của chính phủ Pháp mới có thể đăng kí tài khoản trên dịch vụ này. Tuy nhiên, chính phủ Pháp cũng đã cung cấp Tchap dưới dạng mã nguồn mở trên GitHub, với hy vọng các tổ chức khác cũng có thể triển khai các phiên bản Tchap của riêng họ nhằm phục vụ cho công việc nội bộ.

Tchap được phát triển dựa trên Riot

Tchap bắt đầu được phát triển từ tháng 7 năm 2018. Bản thân ứng dụng này được phát triển dựa trên một gói ứng dụng nhắn tin tức thời máy khách-máy chủ khác có tên Riot, được biết đến với độ bảo mật cao, khả năng triển khai trên máy chủ của chính tổ chức/ doanh nghiệp và cũng được cung cấp dưới dạng mã nguồn mở.

Ứng dụng được phát triển chính thức bởi DINSIC (Tổng cục Quản lý hệ thống thông tin và kỹ thuật số và truyền thông cấp Nhà nước của Pháp), dưới sự giám sát của Cơ quan An ninh mạng Quốc gia pháp (ANSSI).

Chính phủ Pháp cũng lên kế hoạch bắt buộc sử dụng Tchap đối với các cuộc trò chuyện cá nhân giữa các nhân viên chính phủ, các cơ quan và một số lượng hạn chế các thực thể không thuộc chính phủ và người dân (được lựa chọn cẩn thận).

Mục đích của ứng dụng này là để đảm bảo các cuộc đối thoại giữa các nhân viên chính phủ chỉ được luân chuyển trong hệ thống máy chủ nội bộ của họ, tránh xa các dịch vụ của bên thứ ba như Telegram, Signal, WhatsApp, Wickr và các ứng dụng IM có mã hoá khác, vốn rất dễ bị tấn công hoặc theo dõi bởi các cơ quan tình báo nước ngoài.

Lỗ hổng bảo mật được phát hiện chỉ vài giờ sau khi phát hành

Trái với kế hoạch của chính phủ Pháp, buổi ra mắt ứng dụng diễn ra không mấy suôn sẻ. Ngay trong ngày đầu tiên được phát hành, một nhà nghiên cứu bảo mật người Pháp, anh Baptiste Robert đã phát hiện ra một lỗ hổng bảo mật của Tchap, cho phép bất kỳ ai đều có thể đăng ký tài khoản và theo dõi các cuộc trao đổi nội bộ của chính phủ Pháp.

Nhà nghiên cứu bảo mật này phát hiện ra rằng, chỉ cần thêm tên miền email của chính phủ Pháp vào sau địa chỉ email cá nhân của mình, chẳng hạn như tênngườidùng@tênmiền.com@tênmiền-chínhphủ-pháp.com, anh đã ngay lập tức có thể đăng ký tài khoản, ngay cả khi không được phép.

Matrix, công ty phát triển công cụ nhắn tin Riot đã "vá" lỗ hổng trên ngay trong ngày, và người dùng Tchap dự kiến sẽ nhận được bản cập nhật trong một vài ngày tới.

Tchap được đặt theo tên nhà khoa học Claude Chappe, người phát minh ra hệ thống điện báo quang học Chappe từng được lắp đặt trên toàn nước Pháp trong khoảng thời gian từ năm 1792 đến những năm 1850, cho tới khi bị thay thế bởi một hệ thống điện báo chạy điện hiện đại hơn.

Tương tự như Cơ quan An ninh Quốc gia Mỹ (NSA), Cơ quan An ninh mạng Pháp thường cung cấp mã nguồn mở của một số dự án an ninh mạng mà họ thực hiện. Tháng 10 năm ngoái, ANSSI đã mở mã nguồn của CLIP OS, một hệ điều hành bảo mật dựa trên nhân Linux được các nhà phát triển thiết kế phục vụ cho việc sử dụng nội bộ của chính phủ nước này. ANSSI cũng đã công khai mã nguồn của ADTimeline, một công cụ dùng cho các cuộc điều tra pháp lý.

Theo VN Review