Ein Hacker mit weißer Weste fand einen Weg in die neu entwickelte, sicher verschlüsselte Nachrichten App zu gelangen der Französischen Regieren, auf die eigentlich nur zugegriffen werden kann von Beamten und Politikern mit E-Mail-Konten, die mit der Regierungs-Identität verknüpft sind.

Die “Tchap” benannte open Source Nachrichten App, die End-To-End verschlüsselt ist, wurde von der Französischen Regierung entwickelt, um die Daten der Beamten, Parlamentarier und Minister auf Server innerhalb des Landes zu behalten, wegen der Sorge von ausländischen Agenturen, ausspioniert zu werden, über ihre Kommunikation.

Die Tschap App wurde mit dem Riot Klient entwickelt, eine Open Source Instant Nachrichten Software, die das self-hostable Matrik Protokoll implementiert für End-To-End verschlüsselter Kommunikation.

Ja, es handelt sich um dieselbe “Riot und Matrix”, die in den Nachrichten war, früher in dieser Woche, nachdem ein unbekannter Hacker in den Server eingebrochen war und erfolgreich nicht-verschlüsselte private Nachrichten, Passwort Durcheinander, Zugangs-Marken und GPG Schlüssel, die von Projekt Betreuern dafür verwendet werden, um Pakete zu unterschreiben, gestohlen hatte.

Die Cyber-Attacke auf die Matrix war so serös, dass sie die Betreuer dazu zwang, die gesamte Produktions- Infrastruktur des Services für mehrere Stunden herunterzufahren und alle Nutzer von Matrix.org abzumelden.

Die Tchap App hingegen ist verfügbar auf dem Google Play Store und kann von jedem heruntergeladen werden, Nutzer die einen Regierungs-E-Mail-Account haben, wie beispielsweise @gouv.fr oder @elysee.fr., können sich dann auch anmelden und erhalten Zugang.

Trotzdem konnte Robert Baptiste, ein französischer Sicherheitsforscher, der besser bekannt ist unter seinem Twitter Namen Elliot Alderson, ein Sicherheitsloch finden, das ihm erlaubt, jeden ein Konto auf der Tchap App zu gewähren, und Zugang zu Gruppen und Kanälen zu erreichen, ohne einer offiziellen E-Mail-Adresse.

In einem heute veröffentlichen Blog Post demonstriert Robert, wie es ihm möglich war, einen Account zu kreieren in diesem Service, indem er eine normale Email ID verwendet, die einen potentiellen Email Bestätigungs-Fehler in der Tchap Android App ausbeutet.

“Ich habe eine E-Mail modifiziert zu fs0c13ly@protonmail.com.com@presidence@elysee.fr. Bingo! Ich erhielt eine E-Mail von Tchap, ich konnte mein Konto bestätigen!” sagte Robert.

“Ich war angemeldet als Elysée Arbeiter, und ich hatte Zugang zu öffentlichen Räumen.”

Robert erstattete Bericht über seinen Fund beim Matrix Team, das ganz schnell ein Update veröffentlichte, ohne des Fehlers, welcher laut dem Team speziell nur die DINSIC Matrix Vertretung betraf.