Abo
  • IT-Karriere:

Tchap: Forscher gelingt Anmeldung im Regierungschat Frankreichs

Kurz nach dem Start ist es einem Sicherheitsforscher gelungen, sich unberechtigt bei der Whatsapp-Alternative der französischen Regierung anzumelden. Der Forscher fand weitere vermeintliche Fehler, die laut den Entwicklern der Matrix-Software aber keine sind.

Artikel veröffentlicht am ,
Der Élysée-Palast ist der Amtssitz des französischen Präsidenten.
Der Élysée-Palast ist der Amtssitz des französischen Präsidenten. (Bild: ScareCriterion12, Wikimedia.org/CC-BY-SA 4.0)

Die französische Regierung nutzt eine eigene Alternative zu Messenger-Diensten wie Whatsapp auf Basis der freien Software Matrix. Der Dienst mit der eigenen App Tchap ist seit vergangener Woche offiziell im Einsatz und der Sicherheitsforscher Baptiste Robert alias Elliot Alderson konnte schon kurz nach dem Start eine schwerwiegende Lücke in dem System ausfindig machen.

Stellenmarkt
  1. SSI SCHÄFER Automation GmbH, Dortmund, Münster
  2. NTI Kailer GmbH, Villingen-Schwenningen, Wendlingen, Lahr, Magdeburg

Seiner eigenen Zusammenfassung zufolge wollte Robert sich nur kurz mit der App selbst beschäftigen, die in Googles Play Store für Android zur Verfügung steht. Für die Nutzung des Dienstes wird allerdings eigentlich eine offizielle E-Mail-Adresse der französischen Regierung benötigt.

Robert konnte den Anmeldeprozess samt E-Mail-Verifikation aber vergleichsweise leicht überlisten. Der Forscher hängte einfach eine valide E-Mail-Adresse, im konkreten Fall presidence@elysee.fr, an seine eigene Adresse an und erhielt damit einen Zugangstoken zu dem internen Chatnetzwerk der französischen Regierung. Der Sicherheitsforscher meldete die Lücke daraufhin den Beteiligten, die diese gemeinsam mit den Entwicklern der Matrix-Software selbst umgehend behoben haben.

Weitere vermeintliche Lücken

Auf Twitter beschwert sich Robert allerdings über die Kommunikation mit dem Matrix-Projekt. Die Entwickler hätten die Lücke zuerst als spezifisches Problem der Instanz der französische Regierung bezeichnet. Der Fehler liege aber an Code, den das Projekt selbst geschrieben habe, damit seien möglicherweise auch andere Instanzen davon betroffen.

Darüber hinaus schreibt Robert, sowohl die Avatare als auch die vollständigen Namen der Teilnehmer an dem Regierungschat seien öffentlich einsehbar. Der Forscher zeigt sich davon schockiert und beschreibt dies ebenfalls als Sicherheitslücke. Laut den Entwicklern von Matrix ist das aber kein Fehler, sondern eine intendierte Funktion, um andere Nutzer in dem Netzwerk aufzufinden.



Anzeige
Hardware-Angebote
  1. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...
  2. täglich neue Deals bei Alternate.de
  3. 279,90€

quineloe 24. Apr 2019

Da scheinst du dich besser auszukennen. Tim Kellner sagt mir gar nichts.

Aluz 23. Apr 2019

+1 Alles andere ist gegebenenfalls ein DSGVO Verstoss wenn man diese Platform betreibt.

LoopBack 23. Apr 2019

Scheint sogar der Fall zu sein, sie haben nur den check gründlich verkackt: "attacker...

burzum 23. Apr 2019

Absolut richtig. +1


Folgen Sie uns
       


Philips Hue Play HDMI Sync Box angesehen

Die Philips Hue Play HDMI Sync Box ist ein HDMI-Splitter, über den Hue Sync verwendet werden kann. Im ersten Kurztest funktioniert das neue Gerät gut.

Philips Hue Play HDMI Sync Box angesehen Video aufrufen
Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

    •  /