Falha em app de mensagens do governo francês permitia acesso por qualquer um

Preocupados com a segurança e o sigilo das mensagens de seus parlamentares, o governo francês revelou na última quarta-feira (17) um aplicativo próprio de mensagens chamado Tchap, que seria usado de forma exclusiva pelos parlamentares do país para se comunicarem. Mas na quinta-feira (18), apenas um dia depois da revelação oficial do app, a primeira falha de segurança do Tchap veio à tona.

A descoberta da falha foi feita por Elliot Alderson, que conseguiu criar uma conta para acessar o app mesmo ele, teoricamente, sendo restrito apenas para funcionários do governo e parlamentares da França — por isso, para receber o código de confirmação de acesso ao app é necessário possuir um endereço de e-mail @elysee.fr ou @[setor em que se trabalha].gov.fr.

Mas, ao que tudo indica, o sistema de confirmação de endereço precisa ser rapidamente ajustado. Isso porque tudo o que Alderson precisou fazer foi adicionar @elysee.fr no fim de seu endereço de e-mail real (no caso, ele usou o e-mail real fs0c131y@protonmail.com seguido de @presidence@elysse.fr) para receber na sua caixa de entrada os códigos de confirmação necessários para acessar o app.

Alderson rapidamente avisou o time da Matrix (protocolo de código aberto usado para a criação de aplicativos de mensagem com criptografia ponta-a-ponta e que foi a base de desenvolvimento do Tchap) sobre a falha, revelando que ele havia conseguido acessar todas as áreas públicas do aplicativo com os códigos que recebeu.

O problema no sistema de identificação foi provocada por uma conhecida falha no módulo Python (linguagem de programação utilizada para a criação da Matrix), que desde julho de 2018 é conhecido, mas ainda não foi solucionado pelos desenvolvedores. Apesar disso, o time da Matrix conseguiu achar uma solução para a falha e na quinta-feira (18) mesmo disponibilizou um patch de correção para o problema e confirmou que a vulnerabilidade não foi utilizada por mais ninguém além de Alderson.

O desenvolvimento do Tchap se tornou essencial pelo fato de a equipe do presidente Emmanuel Macron utilizar o Telegram como principal ferramenta de comunicação. O problema do aplicativo é que, ao contrário do WhatsApp, ele não possui criptografia de ponta-a-ponta, permitindo que qualquer hacker — ou mesmo alguém da equipe do aplicativo — que acesse os bancos de dados da empresa consiga ler na íntegra qualquer mensagem enviada por ele. E, quando você utiliza um aplicativo desses para a comunicação oficial entre parlamentares, isso acaba se tornando um problema de segurança.

Oficialmente, o Tchap foi lançado na última sexta-feira (19) pelo governo francês e o Diretório Interministerial de Sistemas de Informação da França (órgão responsável por todas as ferramentas digitais do governo francês) já avisou que continuará procurando por bugs e outras vulnerabilidades que podem comprometer a segurança do app.

Fonte: TechCrunch