Hacker, Fransız Hükümeti’nin Yeni Güvenli Mesajlaşma Uygulamasına Girdi

Beyaz şapka korsanı, normal koşullarda devlet kimlikleriyle ilişkili e-posta hesapları olan yetkililer ve politikacılar tarafından erişilebilir olan, Fransız hükümetinin yeni başlatılan güvenli şifreli mesajlaşma uygulamasına girmenin bir yolunu buldu.

“Tchap” olarak adlandırılan, uçtan uca şifreli, açık kaynaklı mesajlaşma uygulaması, yabancı kurumların bu iletişimleri takip etmek için diğer hizmetleri kullanabildikleri konusundaki endişelerine karşılık, memurlarını, milletvekillerini ve bakanlarını ülke içindeki sunuculardaki verilerini tutmak amacıyla Fransız hükümeti tarafından oluşturuldu.

Tchap uygulaması, uçtan uca şifreli iletişim için kendi kendini yönetebilen Matrix protokolünü uygulayan açık kaynaklı bir anlık mesajlaşma yazılımı olan Riot istemcisi kullanılarak oluşturulmuştur.

Evet, bilinmeyen bir bilgisayar korsanının sunucularına girmesi ve şifrelenmemiş özel mesajlar, şifre karmaları, erişim jetonları ve proje imzalayanların paket imzalamak için kullandıkları GPG anahtarlarını başarıyla çalmasının ardından bu haftanın başlarında çıkan haberlerde gördüğümüz “Riot ve Matrix” ile aynı.

Matrix’e yapılan siber saldırı o kadar ciddiydi ki, nihayetinde bakımcılarını hizmetin tüm üretim altyapısını birkaç saat boyunca kapatmaya ve tüm kullanıcıları Matrix.org’dan çıkarmaya zorladı.

Yine de, Tchap uygulaması Google Play Store’da mevcut ve Herkes tarafından indirilebilir durumdadır, örneğin, @gouv.fr veya @ elysee.fr şeklinde devlet tarafından verilen bir e-posta hesabına sahip olan kullanıcılar, bu uygulamaya kaydolabilen ve erişebilen tek kişidir.

Ancak, Twitter kullanıcı adı Elliot Alderson tarafından daha iyi tanınan bir Fransız güvenlik araştırmacısı olan Robert Baptiste, herhangi birinin Tchap uygulamasıyla bir hesap açmasına ve resmi bir e-posta adresi gerektirmeden gruplara ve kanallara erişmesine izin verebilecek bir güvenlik boşluğu buldu.

Bugün yayınlanan bir blog yazısında, Robert, Tchap’ın Android uygulamasında olası bir e-posta doğrulama hatasını kullanarak potansiyel bir e-posta kimliği kullanarak hizmetle nasıl bir hesap oluşturabildiğini gösterdi.

Robert’ın söylediğine göre, “E-postayı fs0c131y@protonmail.com@presidence@elysee.fr olarak değiştirdim. Bingo! Tchap’tan bir e-posta aldım, hesabımı doğruladım!”

“Elysée çalışanı olarak oturum açtım ve umumi odalara erişebildim.”

Robert bulgularını, ekibe göre yalnızca DINSIC matris dağıtımına özgü olan sorunu çözmek için bir yama güncellemesi yayınlayan Matrix ekibine bildirmiştir.