En säkerhetsforskare har tagit sig in i den franska regeringens nya chattapplikation, “Tchap”, bara några dagar efter den släpptes. Applikationen, som är tänkt att endast användas av regeringsanställda och politiker, är krypterad, men en sårbarhet i mailverifikationen gjorde att vem som helst kunde skapa ett konto – och hämta ut känslig information.

Franska regeringens chattapplikation sårbar

Den 17:e april släppte den franska regeringen en chattapplikation med namnet Tchap. Målet med applikationenen är att hålla känslig chattdata från politiker och regeringsanställda på servrar i landet, samt att kryptera trafiken för att hindra spioneri. Tchap bygger på Riot, en chattmjukvara baserad på öppen källkod, vilken i sin tur använder ramverket Matrix för krypteringen.

Även om applikationen finns på Androids applikationsbutik Play Store och kan laddas ner av vem som helst så krävs en godkänd mailadress för att använda den. Dessa kan vara till exempel @gouv.fr eller @elysee.fr. Det var också just verifieringen av mailadressen som Robert Baptiste, en fransk säkerhetsforskare siktade sig in på.

Sårbar mailverifiering

I ett blogginlägg visar Baptiste, mer känd under sitt Twitter alias Elliot Alderson, just hur han tog sig in i applikationen utan en godkänd mailadress: Genom att lägga till den godkända mailadressen på en redan existerande adress.

“I modified email to fs0c131y@protonmail.com@presidence@elysee.fr. Bingo! I received an email from Tchap, I was able to validate my account!”

Baptiste kom även på att den tillagda mailadressen behövde existera, vilket motiverar valet av presidence@elysee.fr, en existerande adress. Därefter var det fritt fram att läsa alla öppna gruppchatter. Bland annat upptäckte han en grupp skapad för alla som gillade färgen gul.

Baptiste vidarebefordrade sin upptäckt till teamet bakom Matrix, vilka släppte en patch för att åtgärda problemet några dagar senare. Är du nyfiken på hur säker kommunikationen är hos ditt företag? Kontakta oss för en gratis konsultation.

Av Max Kardos, CYPRO.