Un hacker etico avrebbe scoperto come violare Tchap, una nuova app di messaggistica sicura lanciata dal governo francese per funzionari e politici.
Il popolare hacker francese Robert Baptiste (conosciuto anche Elliot Alderson o @fs0c131y) avrebbe scoperto come violare l’app Tchap, una nuova applicazione di messaggistica sicura sviluppata dal governo francese per le comunicazioni crittografate tra funzionari pubblici e politici.
L’app è stata sviluppata dal DINSIC (Direzione Interministeriale del sistema digitale e di informazione e comunicazione di Stato), il progetto è direttamente sotto il controllo dell’agenzia di intelligence francese ANSSI.
L’applicazione è stata sviluppata con l’intento di sostituire i principali servizi di instant messaging come Telegram, WhatsApp e Signal, e si rivolge a personale governativo.
L’applicazione Tchap è stata lanciata il 18 aprile ed è disponibile sugli app store ufficiali di Apple ed Android, tuttavia solo il personale del governo francese (coloro che utilizzano account di posta elettronica @gouv.fr o @elysee.fr) può registrati per un account.
Come funziona Tchap
Una delle caratteristiche principali dell’applicazione Tchap, oltre ovviamente alla cifratura delle comunicazioni, è che il flusso di dati transita attraverso server interni al paese per previene attacchi informatici condotti da governi stranieri e campagne di spionaggio.
Il governo francese ha pubblicato il codice sorgente di Tchap su GitHub, esso si basa su Riot, un noto client open source per applicazioni di messagistica istantanea.
Robert Baptiste ha trovato una falla di sicurezza che potrebbe consentire a chiunque di registrare un account con l’app Tchap ed accedere a gruppi e canali senza utilizzare un account associato ad un indirizzo e-mail ufficiale del governo francese.
L’esperto ha effettuato un’analisi dinamica dell’applicazioni che utilizza il meccanismo di sicurezza noto come “certificate pinning” per rendere sicuro il canale di comunicazione.
Pur bypassando il meccanismo in fase di test con appositi tool, l’esperto ha constatato che la procedura di registrazione all’app richiede un token.
L’esperto ha notato che, a seconda dell’indirizzo e-mail fornito dall’utente, l’app farà riferimento all’id_server “corretto”. L’elenco dei server disponibili è definito nel file AndroidManifest.xml.
“Ho impostato id_server su matrix.agent.elysee.tchap.gouv.fr..Per informazione, l’Eliseo è il palazzo presidenziale francese. Per scegliere questo server, ho pensato di dover utilizzare un indirizzo di posta @elysee.fr. Quindi, nella richiesta requestToken, ho utilizzato l’indirizzo e-mail [email protected]@elysee.fr. Purtroppo, nessuna e-mail di convalida è arrivata nella mia casella di posta … Aspetta, il sistema si aspetta un indirizzo conosciuto @elysee.fr. Così ho fatto una ricerca su Google “email @elysee.fr”” Ha scritto l’esperto in un post.
“Così ho fatto un altro tentativo e nella richiesta requestToken e ho utilizzato l’e-mail [email protected]@[email protected]. Bingo! Ho ricevuto un’e-mail dall’applicazione Tchap, e sono riuscito a convalidare il mio account! “
L’accesso ai dati
L’esperto ha dimostrato che è possibile creare un account Tchap utilizzando un normale indirizzo di posta elettronica sfruttando una potenziale falla nel processo di convalida della posta elettronica nella versione Android della applicazione mobile.
Dopo essersi registrato come impiegato dell’Eliseo, è quindi riuscito ad accedere alle stanze pubbliche dell’applicazione.
Robert Baptiste ha segnalato il problema al team Matrix che ha sviluppato il client Riot. Il gruppo di sviluppo ha prontamente risolto il problema e ha rilasciato una patch specifica solo per l’applicazione sviluppata dall’intelligence francese.
Solo i più curiosi tra voi, segnalo che la settimana scorsa Matrix.org ha informato gli utenti di una violazione di sicurezza, un hacker ha ottenuto l’accesso non autorizzato ai database di produzione. Nell’incidente sono stati esposti i messaggi non crittografati, i token di accesso e anche gli hash delle password.
Secondo Matrix.org, l’attaccante ha sfruttato una vulnerabilità nota nel server di automazione open source Jenkins per dirottare le credenziali e accedere ai sistemi dell’organizzazione.
