23.04.2019 13:08

Haker włamał się do komunikatora francuskiego rządu

Francuski rząd, aby dodatkowo zabezpieczyć przekazywane informacje, stworzył własny komunikator - Tchap. Dzień po jego wdrożeniu, włamał się do niego haker.

francja
foto: AP/EAST NEWS

Według oficjalnej strony komunikatora, Tchap powstał z konieczności. Na służbowych telefonach, z których korzystają francuscy urzędnicy niemożliwe jest bowiem zainstalowanie WhatsAppa, czy Telegrama. Komunikator jest oparty na protokole Matrix, który umożliwia szyfrowanie end-to-end - zatem niemożliwe jest przejęcie nad nim kontroli i czytanie cudzych wiadomości. Przynajmniej w teorii.

EA origin
EA origin
Przeczytaj także Gracze narażeni na atak hakerski. EA Origin z luką bezpieczeństwa

Haker złamał zabezpieczenia w godzinę

Z postu na blogu dowiadujemy się, że ekspert do spraw bezpieczeństwa - Elliot Alderson, potrzebował godziny, żeby dostać się do komunikatora. W teorii, można się do niego zalogować jedynie korzystając z adresu w domenie @gouv.fr lub @elysee.fr. W praktyce jednak, po dekompilowaniu programu i edycji jego kodu za pomocą Fridy, haker zalogował się mailem w domenie @protonmail.com. Jest to możliwe dzięki temu, że do stworzenia aplikacji został użyty otwartoźródłowy protokół Matrix.

Bezpośrednio po włamaniu o luce w zabezpieczeniach Tchapa został poinformowany francuski rząd. Po czterech godzinach, została ona naprawiona. Dokładna chronologia włamania wygląda następująco:

  • 9:00 - Ściągnięcie aplikacji i początek analizy
  • 10:15 - Aktywowanie konta w Tchapie
  • 10:35 - Telefon do zespołu odpowiedzialnego za komunikator we francuskim rządzie
  • 11:19 - Podzielenie się informacjami o luce bezpieczeństwa z Matrixem
  • 14:00 - Naprawienie luki przez Matrix
  • 17:42 - Telefon od francuskiego rządu
  • 19:48 - Publikacja postu na blogu Matrixa, w którym wyjaśnione zostały szczegóły luki w zabezpieczeniach

Jak widać, od złamania zabezpieczeń do załatania luki w aplikacji minęły zaledwie 4 godziny. Nie wiadomo jednak, czy w tym czasie hakerzy nie zrobili z niej użytku. Elliot Alderson podzielił się również szczegółami na temat włamania do Tchapa na swoim Twitterze.

Marcin Czajkowski
Tagi: Technologia Mobile