Bereits Anfang 2018 hatte die französische Regierung einen Plan enthüllt, einen sicheren Messenger als Alternative zu WhatsApp und Telegram entwickeln zu lassen. Inzwischen ist er fertig, nutzt als technischen Unterbau den Chatserver Matrix, als Frontend einen Fork der Open-Source-App Riot und heißt Tchap. Der Clou daran: Der Dienst soll nur Mitgliedern der französischen Regierung offenstehen. Eigentlich. Doch nur kurz nach dem offiziellen Startschuss gelang es dem Hacker Baptiste Robert (alias Elliot Anderson/@fs0c131y auf Twitter) innerhalb einer Stunde, ein Nutzerkonto anzulegen. Nachdem er die App aus dem Play Store heruntergeladen hatte, stellte er fest, dass er dazu eine E-Mail-Adresse benötigt, die auf "@gouv.fr" oder "@elysee.fr" endet. Die Tchap-App erwartet während der Registrierung ein Token mit einer passenden E-Mail-Adresse. (Bild: Baptiste Robert / Medium.com ) Er dekompilierte die App und schaute sich die Riot-Dokumentation an. Aus der ging hervor, dass die App im Zuge der Anmeldung ein Token erwartet, in dem eine E-Mail-Adresse mit der passenden Endung hinterlegt sein muss. Nach kurzem Probieren fand heraus, dass er an seine eigene Adresse im Token schlicht "@Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!" anhängen musste. Voilà: Schon kam die Bestätigungsmail bei ihm an. "Ich bin drin!" - Nach einer Stunde hat Alderson/Robert die Bestätigungs-Mail für den Tchap-Chat. (Bild: Baptiste Robert / Medium ) Anschließend schaute sich Robert ein wenig in Tchap um und wunderte sich über einige der Chat-Räume. So gibt es offenbar einen Salon jaune, also das gelbe Zimmer – "Für alle, die gelb lieben". Robert meldete seine Erkenntnisse sowohl der Regierung als auch den Matrix-Entwicklern, die die Lücke in weniger als zwei Stunden schlossen. Matrix gilt als sicheres, Ende-zu-Ende-verschlüsseltes Chat-Protokoll. Allerdings gelang einem Hacker Anfang April 2019 ein Einbruch in die dezentrale Infrastruktur von Matrix. Dabei hatte er Zugriff auf PGP-Schlüssel zum Signieren der Pakete, unverschlüsselte Nachrichten und Nutzerdaten. Letztere waren immerhin verschlüsselt. Dennoch riet Matrix allen Nutzern, ihre Passwörter zu ändern. (bkr) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Bereits Anfang 2018 hatte die französische Regierung einen Plan enthüllt, einen sicheren Messenger als Alternative zu WhatsApp und Telegram entwickeln zu lassen. Inzwischen ist er fertig, nutzt als technischen Unterbau den Chatserver Matrix, als Frontend einen Fork der Open-Source-App Riot und heißt Tchap. Der Clou daran: Der Dienst soll nur Mitgliedern der französischen Regierung offenstehen. Eigentlich. Doch nur kurz nach dem offiziellen Startschuss gelang es dem Hacker Baptiste Robert (alias Elliot Anderson/@fs0c131y auf Twitter) innerhalb einer Stunde, ein Nutzerkonto anzulegen. Nachdem er die App aus dem Play Store heruntergeladen hatte, stellte er fest, dass er dazu eine E-Mail-Adresse benötigt, die auf "@gouv.fr" oder "@elysee.fr" endet. Die Tchap-App erwartet während der Registrierung ein Token mit einer passenden E-Mail-Adresse. (Bild: Baptiste Robert / Medium.com ) Er dekompilierte die App und schaute sich die Riot-Dokumentation an. Aus der ging hervor, dass die App im Zuge der Anmeldung ein Token erwartet, in dem eine E-Mail-Adresse mit der passenden Endung hinterlegt sein muss. Nach kurzem Probieren fand heraus, dass er an seine eigene Adresse im Token schlicht "@Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!" anhängen musste. Voilà: Schon kam die Bestätigungsmail bei ihm an. "Ich bin drin!" - Nach einer Stunde hat Alderson/Robert die Bestätigungs-Mail für den Tchap-Chat. (Bild: Baptiste Robert / Medium ) Anschließend schaute sich Robert ein wenig in Tchap um und wunderte sich über einige der Chat-Räume. So gibt es offenbar einen Salon jaune, also das gelbe Zimmer – "Für alle, die gelb lieben". Robert meldete seine Erkenntnisse sowohl der Regierung als auch den Matrix-Entwicklern, die die Lücke in weniger als zwei Stunden schlossen. Matrix gilt als sicheres, Ende-zu-Ende-verschlüsseltes Chat-Protokoll. Allerdings gelang einem Hacker Anfang April 2019 ein Einbruch in die dezentrale Infrastruktur von Matrix. Dabei hatte er Zugriff auf PGP-Schlüssel zum Signieren der Pakete, unverschlüsselte Nachrichten und Nutzerdaten. Letztere waren immerhin verschlüsselt. Dennoch riet Matrix allen Nutzern, ihre Passwörter zu ändern. (bkr) Zur Startseite