• IT-Karriere:
  • Services:

Tchap: Forscher gelingt Anmeldung im Regierungschat Frankreichs

Kurz nach dem Start ist es einem Sicherheitsforscher gelungen, sich unberechtigt bei der Whatsapp-Alternative der französischen Regierung anzumelden. Der Forscher fand weitere vermeintliche Fehler, die laut den Entwicklern der Matrix-Software aber keine sind.

Artikel veröffentlicht am ,
Der Élysée-Palast ist der Amtssitz des französischen Präsidenten.
Der Élysée-Palast ist der Amtssitz des französischen Präsidenten. (Bild: ScareCriterion12, Wikimedia.org/CC-BY-SA 4.0)

Die französische Regierung nutzt eine eigene Alternative zu Messenger-Diensten wie Whatsapp auf Basis der freien Software Matrix. Der Dienst mit der eigenen App Tchap ist seit vergangener Woche offiziell im Einsatz und der Sicherheitsforscher Baptiste Robert alias Elliot Alderson konnte schon kurz nach dem Start eine schwerwiegende Lücke in dem System ausfindig machen.

Stellenmarkt
  1. Hornbach-Baumarkt-AG, Bornheim bei Landau Pfalz
  2. KION Group AG, Frankfurt am Main

Seiner eigenen Zusammenfassung zufolge wollte Robert sich nur kurz mit der App selbst beschäftigen, die in Googles Play Store für Android zur Verfügung steht. Für die Nutzung des Dienstes wird allerdings eigentlich eine offizielle E-Mail-Adresse der französischen Regierung benötigt.

Robert konnte den Anmeldeprozess samt E-Mail-Verifikation aber vergleichsweise leicht überlisten. Der Forscher hängte einfach eine valide E-Mail-Adresse, im konkreten Fall presidence@elysee.fr, an seine eigene Adresse an und erhielt damit einen Zugangstoken zu dem internen Chatnetzwerk der französischen Regierung. Der Sicherheitsforscher meldete die Lücke daraufhin den Beteiligten, die diese gemeinsam mit den Entwicklern der Matrix-Software selbst umgehend behoben haben.

Weitere vermeintliche Lücken

Auf Twitter beschwert sich Robert allerdings über die Kommunikation mit dem Matrix-Projekt. Die Entwickler hätten die Lücke zuerst als spezifisches Problem der Instanz der französische Regierung bezeichnet. Der Fehler liege aber an Code, den das Projekt selbst geschrieben habe, damit seien möglicherweise auch andere Instanzen davon betroffen.

Darüber hinaus schreibt Robert, sowohl die Avatare als auch die vollständigen Namen der Teilnehmer an dem Regierungschat seien öffentlich einsehbar. Der Forscher zeigt sich davon schockiert und beschreibt dies ebenfalls als Sicherheitslücke. Laut den Entwicklern von Matrix ist das aber kein Fehler, sondern eine intendierte Funktion, um andere Nutzer in dem Netzwerk aufzufinden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

quineloe 24. Apr 2019

Da scheinst du dich besser auszukennen. Tim Kellner sagt mir gar nichts.

Aluz 23. Apr 2019

+1 Alles andere ist gegebenenfalls ein DSGVO Verstoss wenn man diese Platform betreibt.

LoopBack 23. Apr 2019

Scheint sogar der Fall zu sein, sie haben nur den check gründlich verkackt: "attacker...

burzum 23. Apr 2019

Absolut richtig. +1


Folgen Sie uns
       


Lenovo Thinkpad X1 Fold angesehen (CES 2020)

Das Tablet mit faltbarem Display läuft mit Windows 10X und soll Mitte 2020 in den Handel kommen.

Lenovo Thinkpad X1 Fold angesehen (CES 2020) Video aufrufen
Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Computerlinguistik: Bordstein Sie Ihre Erwartung!
Computerlinguistik
"Bordstein Sie Ihre Erwartung!"

Ob Google, Microsoft oder Amazon: Unternehmen befinden sich im internationalen Wettlauf um die treffendsten Übersetzungen. Kontext-Integration, Datenmangel in kleinen Sprachen sowie fehlende Experten für Machine Learning und Sprachverarbeitung sind dabei immer noch die größten Hürden.
Ein Bericht von Maja Hoock

  1. OpenAI Roboterarm löst Zauberwürfel einhändig
  2. Faceapp Russische App liegt im Trend und entfacht Datenschutzdebatte

    •  /