Tchap: Frankreichs (nicht so) exklusiver Regierungschat

Bereits Anfang 2018 hatte die französische Regierung einen Plan enthüllt, einen sicheren Messenger als Alternative zu WhatsApp und Telegram entwickeln zu lassen. Inzwischen ist er fertig, nutzt als technischen Unterbau den Chatserver Matrix, als Frontend einen Fork der Open-Source-App Riot und heißt Tchap. Der Clou daran: Der Dienst soll nur Mitgliedern der französischen Regierung offenstehen. Eigentlich.

Doch nur kurz nach dem offiziellen Startschuss gelang es dem Hacker Baptiste Robert (alias Elliot Alderson/@fs0c131y auf Twitter) innerhalb einer Stunde, ein Nutzerkonto anzulegen. Nachdem er die App aus dem Play Store heruntergeladen hatte, stellte er fest, dass er dazu eine E-Mail-Adresse benötigt, die auf "@gouv.fr" oder "@elysee.fr" endet.

Er dekompilierte die App und schaute sich die Riot-Dokumentation an. Aus der ging hervor, dass die App im Zuge der Anmeldung ein Token erwartet, in dem eine E-Mail-Adresse mit der passenden Endung hinterlegt sein muss. Nach kurzem Probieren fand heraus, dass er an seine eigene Adresse im Token schlicht "@presidence@elysee.fr" anhängen musste. Voilà: Schon kam die Bestätigungsmail bei ihm an.

Anschließend schaute sich Robert ein wenig in Tchap um und wunderte sich über einige der Chat-Räume. So gibt es offenbar einen Salon jaune, also das gelbe Zimmer – "Für alle, die gelb lieben". Robert meldete seine Erkenntnisse sowohl der Regierung als auch den Matrix-Entwicklern, die die Lücke in weniger als zwei Stunden schlossen.

Matrix gilt als sicheres, Ende-zu-Ende-verschlüsseltes Chat-Protokoll. Allerdings gelang einem Hacker Anfang April 2019 ein Einbruch in die dezentrale Infrastruktur von Matrix. Dabei hatte er Zugriff auf PGP-Schlüssel zum Signieren der Pakete, unverschlüsselte Nachrichten und Nutzerdaten. Letztere waren immerhin verschlüsselt. Dennoch riet Matrix allen Nutzern, ihre Passwörter zu ändern. (bkr)