Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.981.083 Produkten

Benjamin Kraft 42

Tchap: Frankreichs (nicht so) exklusiver Regierungschat

Tchap: Frankreichs (nicht so) exklusiver Regierungschat

Bild: pixabay.com

Die französische Regierung hat für die interne Kommunikation den Messenger Tchap als WhatsApp-Alternative entwickeln lassen. Zum Start gibts einen Fauxpas.

Bereits Anfang 2018 hatte die französische Regierung einen Plan enthüllt, einen sicheren Messenger als Alternative zu WhatsApp und Telegram entwickeln zu lassen. Inzwischen ist er fertig, nutzt als technischen Unterbau den Chatserver Matrix, als Frontend einen Fork der Open-Source-App Riot und heißt Tchap. Der Clou daran: Der Dienst soll nur Mitgliedern der französischen Regierung offenstehen. Eigentlich.

Doch nur kurz nach dem offiziellen Startschuss gelang es dem Hacker Baptiste Robert (alias Elliot Alderson/@fs0c131y auf Twitter) innerhalb einer Stunde, ein Nutzerkonto anzulegen. Nachdem er die App aus dem Play Store heruntergeladen hatte, stellte er fest, dass er dazu eine E-Mail-Adresse benötigt, die auf "@gouv.fr" oder "@elysee.fr" endet.

Riot Token
Die Tchap-App erwartet während der Registrierung ein Token mit einer passenden E-Mail-Adresse. (Bild: Baptiste Robert / Medium.com )

Er dekompilierte die App und schaute sich die Riot-Dokumentation an. Aus der ging hervor, dass die App im Zuge der Anmeldung ein Token erwartet, in dem eine E-Mail-Adresse mit der passenden Endung hinterlegt sein muss. Nach kurzem Probieren fand heraus, dass er an seine eigene Adresse im Token schlicht "@presidence@elysee.fr" anhängen musste. Voilà: Schon kam die Bestätigungsmail bei ihm an.

"Ich bin drin!" - Nach einer Stunde hat Alderson/Robert die Bestätigungs-Mail für den Tchap-Chat.
"Ich bin drin!" - Nach einer Stunde hat Alderson/Robert die Bestätigungs-Mail für den Tchap-Chat. (Bild: Baptiste Robert / Medium )

Anschließend schaute sich Robert ein wenig in Tchap um und wunderte sich über einige der Chat-Räume. So gibt es offenbar einen Salon jaune, also das gelbe Zimmer – "Für alle, die gelb lieben". Robert meldete seine Erkenntnisse sowohl der Regierung als auch den Matrix-Entwicklern, die die Lücke in weniger als zwei Stunden schlossen.

Matrix gilt als sicheres, Ende-zu-Ende-verschlüsseltes Chat-Protokoll. Allerdings gelang einem Hacker Anfang April 2019 ein Einbruch in die dezentrale Infrastruktur von Matrix. Dabei hatte er Zugriff auf PGP-Schlüssel zum Signieren der Pakete, unverschlüsselte Nachrichten und Nutzerdaten. Letztere waren immerhin verschlüsselt. Dennoch riet Matrix allen Nutzern, ihre Passwörter zu ändern. (bkr)

42 Kommentare

Themen:

Anzeige
Anzeige