Seguridad

Hacker rompe la seguridad de la nueva aplicación de mensajería del gobierno de Francia.

Un investigador ha encontrado la forma de romper la seguridad de la nueva aplicación móvil de mensajería segura. A esta aplicación sólo pueden acceder políticos y oficiales con correos electrónicos pertenecientes a instituciones gubernamentales.

La aplicación móvil, llamada “Tchap” es opensource y se creó con el objetivo de que la información personal de políticos y parlamentarios esté almacenada en servidores dentro del territorio francés, para prevenir que agencias externas puedan espiar las comunicaciones.

Tchap esta desarrollada sobre Riot, un software de código abierto que implementa el protocolo Matrix para lograr cifrado punto a punto.

Es importante mencionar que es el mismo “Riot y Matrix” que hace unos días fue comprometido por un atacante desconocido que se hizo con hashes de contraseñas, tokens de acceso y claves GPG usadas para firmar paquetes.

El ataque sobre Matrix fue tan importante que los desarrolladores se vieron forzados a desconectar totalmente su infraestructura de producción por varias horas y cerrar las sesiones de todos los usuarios de Matrix.org.

Aunque Tchap está disponible en Google Play y puede ser descargada por cualquiera, sólo los usuarios con un correo electrónico emitido por una organización gubernamental pueden registrarse y acceder.

Sin embargo, Robert Baptiste, un investigador de seguridad francés, encontró una falla que podría permitir a cualquiera a registrarse en la aplicación y acceder a grupos y canales sin la necesidad de un correo electrónico oficial.

En una publicación reciente, Robert demuestra como fue capaz de crear una cuenta usando un correo no-oficial, explotando así un bug en la validación de la dirección de los correos electrónicos. Según comenta, al modificar el correo de registro de su cuenta a fs0c131y@protonmail.com@presidence@elysee.fr fue capaz de validar su cuenta y completar el registro.

Robert notificó sus hallazgos al equipo de Matrix que rápidamente liberó un parche para corregir el problema.

Más información:

https://thehackernews.com/2019/04/france-Tchap-secure-messenger.html

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.