• IT-Karriere:
  • Services:

Tchap: Forscher gelingt Anmeldung im Regierungschat Frankreichs

Kurz nach dem Start ist es einem Sicherheitsforscher gelungen, sich unberechtigt bei der Whatsapp-Alternative der französischen Regierung anzumelden. Der Forscher fand weitere vermeintliche Fehler, die laut den Entwicklern der Matrix-Software aber keine sind.

Artikel veröffentlicht am ,
Der Élysée-Palast ist der Amtssitz des französischen Präsidenten.
Der Élysée-Palast ist der Amtssitz des französischen Präsidenten. (Bild: ScareCriterion12, Wikimedia.org/CC-BY-SA 4.0)

Die französische Regierung nutzt eine eigene Alternative zu Messenger-Diensten wie Whatsapp auf Basis der freien Software Matrix. Der Dienst mit der eigenen App Tchap ist seit vergangener Woche offiziell im Einsatz und der Sicherheitsforscher Baptiste Robert alias Elliot Alderson konnte schon kurz nach dem Start eine schwerwiegende Lücke in dem System ausfindig machen.

Stellenmarkt
  1. Senatsverwaltung für Bildung, Jugend und Familie, Berlin Mitte
  2. Senatsverwaltung für Bildung, Jugend und Familie, Berlin

Seiner eigenen Zusammenfassung zufolge wollte Robert sich nur kurz mit der App selbst beschäftigen, die in Googles Play Store für Android zur Verfügung steht. Für die Nutzung des Dienstes wird allerdings eigentlich eine offizielle E-Mail-Adresse der französischen Regierung benötigt.

Robert konnte den Anmeldeprozess samt E-Mail-Verifikation aber vergleichsweise leicht überlisten. Der Forscher hängte einfach eine valide E-Mail-Adresse, im konkreten Fall presidence@elysee.fr, an seine eigene Adresse an und erhielt damit einen Zugangstoken zu dem internen Chatnetzwerk der französischen Regierung. Der Sicherheitsforscher meldete die Lücke daraufhin den Beteiligten, die diese gemeinsam mit den Entwicklern der Matrix-Software selbst umgehend behoben haben.

Weitere vermeintliche Lücken

Auf Twitter beschwert sich Robert allerdings über die Kommunikation mit dem Matrix-Projekt. Die Entwickler hätten die Lücke zuerst als spezifisches Problem der Instanz der französische Regierung bezeichnet. Der Fehler liege aber an Code, den das Projekt selbst geschrieben habe, damit seien möglicherweise auch andere Instanzen davon betroffen.

Darüber hinaus schreibt Robert, sowohl die Avatare als auch die vollständigen Namen der Teilnehmer an dem Regierungschat seien öffentlich einsehbar. Der Forscher zeigt sich davon schockiert und beschreibt dies ebenfalls als Sicherheitslücke. Laut den Entwicklern von Matrix ist das aber kein Fehler, sondern eine intendierte Funktion, um andere Nutzer in dem Netzwerk aufzufinden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 2,99€
  2. (-82%) 11,00€
  3. 22,99€

quineloe 24. Apr 2019

Da scheinst du dich besser auszukennen. Tim Kellner sagt mir gar nichts.

Aluz 23. Apr 2019

+1 Alles andere ist gegebenenfalls ein DSGVO Verstoss wenn man diese Platform betreibt.

LoopBack 23. Apr 2019

Scheint sogar der Fall zu sein, sie haben nur den check gründlich verkackt: "attacker...

burzum 23. Apr 2019

Absolut richtig. +1


Folgen Sie uns
       


Golem.de baut das Makerphone zusammen (Zeitraffer)

Das Makerphone ist ein Handy zum Zusammenbauen. Kinder wie auch Erwachsene können so die Funktionsweise eines Mobiltelefons nachvollziehen.

Golem.de baut das Makerphone zusammen (Zeitraffer) Video aufrufen
    •  /