Un investigador de seguridad ha logrado acceder a la aplicación de mensajería cifrada del gobierno francés, Tchap, la que -en teoría- solo pueden usar funcionarios y políticos franceses con cuentas de correo electrónico asociadas con identidades gubernamentales.
Tchap es una aplicación de mensajería de código abierto bajo Android y cifrada de extremo a extremo, que el gobierno francés creó para evitar la dependencia de aplicaciones comerciales como WhatsApp, Facebook Messenger o Telegram y salvar las preocupaciones de que las agencias extranjeras puedan usarlas para espiar sus comunicaciones.
Tchap no pretende ser un sistema de comunicaciones clasificado; se ejecuta en teléfonos Android estándar y utiliza la Internet pública, pero todos los datos que circulan por ella se mantienen en servidores franceses y solo se puede acceder mediante cuentas de correo específicas.
El problema es que el investigador encontró una brecha de seguridad que podría permitir a cualquier persona registrar una cuenta en la aplicación Tchap y acceder a los grupos y canales sin necesidad de una dirección de correo electrónico oficial. De hecho, explotó un error de validación de correo electrónico.
Tchap está basado en la app de chat Riot.im del proyecto de código abierto Matrix y aún se encuentra oficialmente en fase “beta”. Recordemos que “Riot y Matrix” fueron comprometidos hace unos días por un atacante desconocido que se hizo con hashes de contraseñas, tokens de acceso y claves GPG usadas para firmar paquetes. El ataque sobre Matrix fue tan importante que los desarrolladores se vieron forzados a desconectar totalmente su infraestructura de producción por varias horas y cerrar las sesiones de todos los usuarios de Matrix.org.
DINSIC, la dirección interministerial francesa para sistemas de información que maneja el Tchap, ha respondido al fallo y está aceptando los comentarios de los investigadores de seguridad para ayudar a que la aplicación sea más segura, pero, al igual que muchos proyectos de “transformación digital”, éste se realizó con una planificación previa de la seguridad demasiado pequeña.
Fuente:https://www.muyseguridad.net
