Tchap: Forscher gelingt Anmeldung im Regierungschat Frankreichs

Kurz nach dem Start ist es einem Sicherheitsforscher gelungen, sich unberechtigt bei der Whatsapp-Alternative der französischen Regierung anzumelden. Der Forscher fand weitere vermeintliche Fehler, die laut den Entwicklern der Matrix-Software aber keine sind.

Artikel veröffentlicht am ,
Der Élysée-Palast ist der Amtssitz des französischen Präsidenten.
Der Élysée-Palast ist der Amtssitz des französischen Präsidenten. (Bild: ScareCriterion12, Wikimedia.org/CC-BY-SA 4.0)

Die französische Regierung nutzt eine eigene Alternative zu Messenger-Diensten wie Whatsapp auf Basis der freien Software Matrix. Der Dienst mit der eigenen App Tchap ist seit vergangener Woche offiziell im Einsatz und der Sicherheitsforscher Baptiste Robert alias Elliot Alderson konnte schon kurz nach dem Start eine schwerwiegende Lücke in dem System ausfindig machen.

Stellenmarkt
  1. Business Analyst Business Intelligence & Analytics (m/w/d)
    ALDI SÜD Dienstleistungs-SE & Co. oHG, Mülheim an der Ruhr
  2. Teamleiter Echtzeit-Software C++ / Linux (m/w/d)
    Ipetronik, Bergkirchen bei München
Detailsuche

Seiner eigenen Zusammenfassung zufolge wollte Robert sich nur kurz mit der App selbst beschäftigen, die in Googles Play Store für Android zur Verfügung steht. Für die Nutzung des Dienstes wird allerdings eigentlich eine offizielle E-Mail-Adresse der französischen Regierung benötigt.

Robert konnte den Anmeldeprozess samt E-Mail-Verifikation aber vergleichsweise leicht überlisten. Der Forscher hängte einfach eine valide E-Mail-Adresse, im konkreten Fall presidence@elysee.fr, an seine eigene Adresse an und erhielt damit einen Zugangstoken zu dem internen Chatnetzwerk der französischen Regierung. Der Sicherheitsforscher meldete die Lücke daraufhin den Beteiligten, die diese gemeinsam mit den Entwicklern der Matrix-Software selbst umgehend behoben haben.

Weitere vermeintliche Lücken

Auf Twitter beschwert sich Robert allerdings über die Kommunikation mit dem Matrix-Projekt. Die Entwickler hätten die Lücke zuerst als spezifisches Problem der Instanz der französische Regierung bezeichnet. Der Fehler liege aber an Code, den das Projekt selbst geschrieben habe, damit seien möglicherweise auch andere Instanzen davon betroffen.

Golem Karrierewelt
  1. Certified Network Defender (CND): virtueller Fünf-Tage-Workshop
    17.-21.10.2022, Virtuell
  2. Deep-Dive Kubernetes – Observability, Monitoring & Alerting: virtueller Ein-Tages-Workshop
    10.11.2022, Virtuell
Weitere IT-Trainings

Darüber hinaus schreibt Robert, sowohl die Avatare als auch die vollständigen Namen der Teilnehmer an dem Regierungschat seien öffentlich einsehbar. Der Forscher zeigt sich davon schockiert und beschreibt dies ebenfalls als Sicherheitslücke. Laut den Entwicklern von Matrix ist das aber kein Fehler, sondern eine intendierte Funktion, um andere Nutzer in dem Netzwerk aufzufinden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


quineloe 24. Apr 2019

Da scheinst du dich besser auszukennen. Tim Kellner sagt mir gar nichts.

Aluz 23. Apr 2019

+1 Alles andere ist gegebenenfalls ein DSGVO Verstoss wenn man diese Platform betreibt.

LoopBack 23. Apr 2019

Scheint sogar der Fall zu sein, sie haben nur den check gründlich verkackt: "attacker...

[gelöscht] 23. Apr 2019



Aktuell auf der Startseite von Golem.de
US-Whistleblower  
Putin verleiht Snowden die russische Staatsbürgerschaft

US-Whistleblower Edward Snowden ist nun auch russischer Staatsbürger. Für den Krieg gegen die Ukraine kann er aber vorerst nicht eingezogen werden.

US-Whistleblower: Putin verleiht Snowden die russische Staatsbürgerschaft
Artikel
  1. Creative Commons, Pixabay, Unsplash: Rechtliche Fallstricke bei Gratis-Stockfotos
    Creative Commons, Pixabay, Unsplash
    Rechtliche Fallstricke bei Gratis-Stockfotos

    Pixabay, Unsplash, CC ermöglichen eine gebührenfreie Nutzung kreativer Werke. Vorsicht ist dennoch geboten: vor Abmahnmaschen, falschen Quellenangaben, unklarer Rechtslage.
    Eine Analyse von Florian Zandt

  2. Star Wars: Lego bringt großes Set der Razor Crest aus The Mandalorian
    Star Wars
    Lego bringt großes Set der Razor Crest aus The Mandalorian

    Aus fast 6.200 Teilen besteht das große Lego-Set der Razor Crest. Sie ist teuer, nicht aber für ein Star-Wars-Set.

  3. Pendix eDrive: Ein E-Bike wie kein anderes
    Pendix eDrive
    Ein E-Bike wie kein anderes

    Pendix bietet einen Umbausatz, mit dem aus normalen Fahrrädern E-Bikes werden. Nicht ganz billig - aber auf jeden Fall ein Vergnügen.
    Ein Test von Martin Wolf

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek: PC-Tower, Cooling & Co. • Günstig wie nie: Asus RX 6700 XT 539€, FIFA 23 PS5 59,99€, Acer 31,5" 4K 144 Hz 899€, MSI RTX 3090 1.159€ • AMD Ryzen 7 5800X 287,99€ • Xbox Wireless Controller 49,99€ • MindStar (Gigabyte RTX 3060 Ti 522€) [Werbung]
    •  /