Original-URL des Artikels: https://www.golem.de/news/tchap-forscher-gelingt-anmeldung-im-regierungschat-frankreichs-1904-140799.html    Veröffentlicht: 22.04.2019 11:32    Kurz-URL: https://glm.io/140799

Tchap

Forscher gelingt Anmeldung im Regierungschat Frankreichs

Kurz nach dem Start ist es einem Sicherheitsforscher gelungen, sich unberechtigt bei der Whatsapp-Alternative der französischen Regierung anzumelden. Der Forscher fand weitere vermeintliche Fehler, die laut den Entwicklern der Matrix-Software aber keine sind.

Die französische Regierung nutzt eine eigene Alternative zu Messenger-Diensten wie Whatsapp auf Basis der freien Software Matrix. Der Dienst mit der eigenen App Tchap ist seit vergangener Woche offiziell im Einsatz und der Sicherheitsforscher Baptiste Robert alias Elliot Alderson konnte schon kurz nach dem Start eine schwerwiegende Lücke in dem System ausfindig machen.

Seiner eigenen Zusammenfassung zufolge wollte Robert sich nur kurz mit der App selbst beschäftigen, die in Googles Play Store für Android zur Verfügung steht. Für die Nutzung des Dienstes wird allerdings eigentlich eine offizielle E-Mail-Adresse der französischen Regierung benötigt.

Robert konnte den Anmeldeprozess samt E-Mail-Verifikation aber vergleichsweise leicht überlisten. Der Forscher hängte einfach eine valide E-Mail-Adresse, im konkreten Fall presidence@elysee.fr, an seine eigene Adresse an und erhielt damit einen Zugangstoken zu dem internen Chatnetzwerk der französischen Regierung. Der Sicherheitsforscher meldete die Lücke daraufhin den Beteiligten, die diese gemeinsam mit den Entwicklern der Matrix-Software selbst umgehend behoben haben.

Weitere vermeintliche Lücken

Auf Twitter beschwert sich Robert allerdings über die Kommunikation mit dem Matrix-Projekt. Die Entwickler hätten die Lücke zuerst als spezifisches Problem der Instanz der französische Regierung bezeichnet. Der Fehler liege aber an Code, den das Projekt selbst geschrieben habe, damit seien möglicherweise auch andere Instanzen davon betroffen.

Darüber hinaus schreibt Robert, sowohl die Avatare als auch die vollständigen Namen der Teilnehmer an dem Regierungschat seien öffentlich einsehbar. Der Forscher zeigt sich davon schockiert und beschreibt dies ebenfalls als Sicherheitslücke. Laut den Entwicklern von Matrix ist das aber kein Fehler, sondern eine intendierte Funktion, um andere Nutzer in dem Netzwerk aufzufinden.  (sg)


Verwandte Artikel:
Messenger: Matrix.org-Server gehackt   
(12.04.2019, https://glm.io/140655 )
Messenger: KDE-Community wechselt auf Matrix und Riot   
(21.02.2019, https://glm.io/139528 )
Star Wars: In Frankreich sind Lichtschwertduelle ein anerkannter Sport   
(20.02.2019, https://glm.io/139502 )
E-Learning-Plattform: Mysteriöses Datenleck bei Oncampus   
(18.04.2019, https://glm.io/140779 )
Sicherheitslücke: EA Origin führte Schadcode per Link aus   
(17.04.2019, https://glm.io/140738 )

© 1997–2019 Golem.de, https://www.golem.de/