Hacker irrumpe en la nueva aplicación de mensajería segura del gobierno francés

mensajero seguro Tchap francés

Un hacker de sombrero blanco encontró una manera de ingresar a la aplicación de mensajería segura encriptada recientemente lanzada por el gobierno francés a la que, de lo contrario, solo pueden acceder funcionarios y políticos con cuentas de correo electrónico asociadas con las identidades del gobierno.

Doblado «Tchap«la aplicación de mensajería de código abierto encriptada de extremo a extremo ha sido creada por el gobierno francés con el objetivo de mantener los datos de sus funcionarios, parlamentarios y ministros en servidores dentro del país por temor a que las agencias extranjeras puedan usar otros servicios para espiar sus comunicaciones.

La aplicación Tchap se crea con el cliente Riot, un software de mensajería instantánea de código abierto que implementa el protocolo Matrix autohospedable para la comunicación cifrada de extremo a extremo.

si, es lo mismo»Riot y Matrix«Eso estuvo en las noticias a principios de esta semana después de que un pirata informático desconocido irrumpiera en sus servidores y robara con éxito mensajes privados sin cifrar, hash de contraseñas, tokens de acceso y claves GPG que los mantenedores del proyecto usaron para firmar paquetes.

El ataque cibernético a Matrix fue tan grave que finalmente obligó a sus mantenedores a cerrar toda la infraestructura de producción del servicio durante varias horas y cerrar la sesión de todos los usuarios de Matrix.org.

Aunque la aplicación Tchap está disponible en Google Play Store y cualquiera puede descargarla, los usuarios que tienen una cuenta de correo electrónico emitida por el gobierno, por ejemplo, @ gouv.fr o @ elysee.fr, son los únicos que pueden registrarse y acceder a él.

Sin embargo, Robert Baptiste, un investigador de seguridad francés mejor conocido por su nombre de usuario de Twitter, Elliot Alderson, encontró una laguna de seguridad que podría permitir que cualquier persona registre una cuenta con la aplicación Tchap y acceda a grupos y canales sin necesidad de una dirección de correo electrónico oficial.

En una publicación de blog publicada hoy, Robert demostró cómo pudo crear una cuenta con el servicio utilizando una identificación de correo electrónico regular al explotar un posible error de validación de correo electrónico en la aplicación de Android de Tchap.

«Modifiqué el correo electrónico a fs0c131y @ protonmail.com @ presidence @ elysee.fr. ¡Bingo! ¡Recibí un correo electrónico de Tchap, pude validar mi cuenta!» Roberto dice.

«Estoy registrado como empleado de Elysée y tenía acceso a las salas públicas».

Robert notificó sus hallazgos al equipo de Matrix, quien rápidamente lanzó una actualización de parche para solucionar el problema, que según el equipo, era específico solo de la implementación de la matriz DINSIC.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática