Hacker bricht in angeblich sichere Messaging-App der französischen Regierung ein

Ein Hacker fand einen Weg in die neu gestartete, angeblich abhörsicher verschlüsselte Messaging-App der französischen Regierung, auf die sonst nur Beamte und Politiker mit E-Mail-Konten zugreifen können, die mit ihrer Regierungsidentität verbunden sind.

Tchap", die von der französischen Regierung als "End-to-End verschlüsselte" Open-Source-Messaging-App bezeichnet, wurde von der französischen Regierung mit dem Ziel entwickelt, ihre Beamten, Parlamentarier und Ministerdaten auf Servern im Land zu speichern, da sie befürchten, dass ausländische Behörden andere Dienste nutzen könnten, um ihre Kommunikation auszuspionieren.

Die Tchap-App wird mit dem Riot-Client erstellt, einer Open-Source-Instant-Messaging-Software, die ein selbsthostfähiges Matrix-Protokoll für eine durchgängig verschlüsselte Kommunikation implementiert.

Ja, es ist derselbe Hacker, der Anfang dieser Woche in den Nachrichten war, nachdem ein unbekannter Hacker in seine Server einbricht und erfolgreich unverschlüsselte private Nachrichten, Passwort-Hashes, Zugriffstoken und GPG-Schlüssel gestohlen hat, die die Projektbetreuer zum Signieren von Paketen verwendeten. Der Cyberangriff auf Matrix war so schwerwiegend, dass er seine Maintainer schließlich zwang, die gesamte Produktionsinfrastruktur des Dienstes für mehrere Stunden stillzulegen und alle Benutzer von Matrix.org abzumelden.

Obwohl die Tchap-App im Google Play Store verfügbar ist und von jedem heruntergeladen werden kann, sind Benutzer, die über ein von der Regierung eingerichtetes E-Mail-Konto verfügen, z.B. @gouv.fr oder @elysee.fr, die einzigen, die sich anmelden und darauf zugreifen können.

Robert Baptiste, ein französischer Sicherheitsforscher, der besser unter seinem Twitter-Benutzernamen Elliot Alderson bekannt ist, fand jedoch eine Sicherheitslücke, die es jedem ermöglichen könnte, ein Konto bei der Tchap-App und den Zugangsgruppen und -kanälen zu registrieren, ohne eine offizielle E-Mail-Adresse zu benötigen.

In einem heute veröffentlichten Blogbeitrag zeigte Robert, wie er mit einer regulären E-Mail-ID ein Konto beim Dienst erstellen konnte, indem er einen potenziellen Fehler bei der E-Mail-Validierung in der Android-App von Tchap ausnutzte.


"Ich habe die E-Mail an fs0c131y@protonmail.com@presidence@elysee.fr. geändert. Bingo! Ich habe eine E-Mail von Tchap erhalten, ich konnte mein Konto validieren!" sagt Robert.

"Ich bin als Elysée-Mitarbeiter angemeldet und hatte Zugang zu den öffentlichen Räumen."


Robert teilte seine Ergebnisse dem Matrix-Team mit, das schnell ein Patch-Update veröffentlichte, um das Problem zu beheben, das nach Angaben des Teams nur für den Einsatz der DINSIC-Matrix spezifisch war.