Feltörték a francia kormány új, biztonságos üzenetküldő app-ját

French secure messaging app

Egy fehérkalapos hacker törte fel a francia kormány újonnan elindított kormányzati üzenetküldő alkalmazását, melyet egyébként csak az állami alkalmazottak és a politikusok használhatják. A hiba az üzenetek titkosítását végző nyílt forráskódú protokollban volt. A hacker nem okozott kárt, de egy igen vicces csoport létezését megosztotta a nagyvilággal.

A Tchap névre hallgató, végponttól végpontig terjedő titkosítással felvértezett alkalmazást a francia kormány fejlesztette azért, hogy az állami alkalmazottakat, a képviselőket és minisztereket egy olyan platformra terelje, melyet ők ellenőriznek és az adatok is a saját birtokukban van. Így egy picit nyugodtabban kommunikálhatnak, hiszen a különböző titkosszolgálatoknak sokkal nehezebb feltörni a rendszert.

Vagyis ezt gondolták az alkalmazás fejlesztői, de sajnos tévedtek. Egy francia fehér kalapos hackernek valamivel több mint egy óra alatt sikerült betörnie a rendszerbe. A kormányzati alkalmazást a nyílt forráskódú Riot kliens segítségével fejlesztették, mely a végponttól végpontig terjedő titkosításhoz a Matrix protokollt használja.

A Tchapp alkalmazás a Google Play Áruházból szabadon letölthető, az alkalmazásban viszont csak a kormányzati email címmel rendelkezők regisztrálhatnak, vagyis a @gouv.fr vagy a @elysee.fr végződésű, ténylegesen létező címeket fogadja el a rendszer.

Ennek ellenére egy francia biztonsági szakembernek, Robert Baptiste-nak (a kutatót Twitter felhasználói nevén ismeri a hacker közösség, vagyis Eliott Aldersonként) az emailek validálási hibájának kihasználásával sikerült regisztrálnia az alkalmazásba, a fs0c131y@protonmail.com@presidence@elysee.fr email címmel. Minderről saját blogbejegyzésében írt a fehér kalapos hacker, aki a hiba felfedezése után azonnal értesítette az alkalmazás fejlesztőit, a francia hatóságokat is. A Matrix protokoll fejlesztői azonnal javították a hibát.

A hackernek azonban addig sikerült egy picit körül néznie a kormányzati alkalmazottaknak fenntartott üzenetküldőben, ahol például egy sárga szobát is indítottak, a sárga szín kedvelőinek. Egy picit több komolyságot, uraim!

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük