Kwesbaarhede is by die meeste Matrix -kliënte gevind

onlangs die nuus is bekend gemaak dat kwesbaarhede geïdentifiseer is (CVE-2021-40823, CVE-2021-40824) in die meeste kliëntetoepassings vir gedesentraliseerde kommunikasieplatform Matriks, waarmee inligting verkry kan word oor die sleutels wat gebruik word om boodskappe in versleutelde end-to-end-geselsies (E2EE) oor te dra.

'N Aanvaller wat een van die gebruikers in die gedrang gebring het van die chat kan voorheen gestuurde boodskappe ontsyfer aan hierdie gebruiker van kwesbare kliëntetoepassings. Suksesvolle operasie vereis toegang tot die rekening van die ontvanger van die boodskap, en toegang kan verkry word deur 'n lek van rekeningparameters en deur die Matrix -bediener in te hack waardeur die gebruiker verbind word.

Daar word genoem dat die kwesbaarhede is die gevaarlikste vir gebruikers van geënkripteerde kletskamers waaraan Matrix-bedieners wat deur aanvallers beheer word, gekoppel is. Administrateurs van sulke bedieners kan probeer om gebruikers van die bediener na te boots om boodskappe wat deur kwesbare kliëntprogramme gestuur is, te onderskep.

Kwesbaarhede word veroorsaak deur logiese foute in die implementering van die meganisme om toegang tot sleutels weer te gee voorstelle in die verskillende kliënte opgespoor. Implementasies gebaseer op die matrix-ios-sdk-, matrix-nio- en libolm-biblioteke is nie kwesbaar vir kwesbaarhede nie.

Gevolglik kwesbaarhede verskyn in alle toepassings wat die problematiese kode geleen het y dit beïnvloed nie die Matrix- en Olm / Megolm -protokolle direk nie.

Die probleem raak spesifiek die kern-element Matrix (voorheen Riot) -kliënt vir die web, lessenaar en Android, sowel as toepassings en biblioteke van derde partye, soos FluffyChat, Nheko, Cinny en SchildiChat. Die probleem verskyn nie in die amptelike iOS-kliënt nie, en ook nie in die Chatty-, Waterstof-, mautrix-, persmatrix- en Siphon-toepassings nie.

Die gelapte weergawes van die betrokke kliënte is nou beskikbaar; daarom word versoek dat dit so spoedig moontlik bygewerk word en ons vra om verskoning vir die ongerief. As u nie kan opgradeer nie, oorweeg dit om kwesbare kliënte vanlyn te hou totdat u kan. As kwesbare kliënte vanlyn is, kan hulle nie mislei word om die sleutels bekend te maak nie. Hulle is moontlik weer veilig aanlyn sodra hulle opgedateer is.

Ongelukkig is dit moeilik of onmoontlik om gevalle van hierdie aanval terugwerkend te identifiseer met standaard logvlakke op beide kliënte en bedieners. Aangesien die aanval die rekening in gevaar stel, kan tuisbedieners egter hul verifikasielogboeke hersien vir tekens van onvanpaste toegang.

Met die sleuteluitruilingsmeganisme, by die implementering waarvan kwesbaarhede gevind is, kan 'n kliënt wat nie die sleutels het nie, 'n boodskap ontsyfer om sleutels van die sender se toestel of ander toestelle aan te vra.

Hierdie vermoë is byvoorbeeld nodig om die ontsyfering van ou boodskappe op die nuwe toestel van die gebruiker te verseker of as die gebruiker bestaande sleutels verloor. Die protokolspesifikasie skryf standaard voor om nie op sleutelversoeke te reageer nie en dit outomaties slegs na geverifieerde toestelle van dieselfde gebruiker te stuur. Ongelukkig is daar aan praktiese implementering nie aan hierdie vereiste voldoen nie en is versoeke om sleutels te stuur verwerk sonder die nodige apparaatidentifikasie.

Die kwesbaarhede is geïdentifiseer tydens 'n veiligheidsoudit van die Element -kliënt. Die oplossings is nou beskikbaar vir alle kliënte wat probleme ondervind. Gebruikers word aangeraai om onmiddellik opdaterings te installeer en kliënte te ontkoppel voordat hulle die opdatering installeer.

Daar was geen bewyse dat die kwesbaarheid benut is voor die vrystelling van die resensie nie. Dit is onmoontlik om die feit van 'n aanval te bepaal met behulp van die standaard kliënt- en bedienerlogboeke, maar aangesien die aanval die rekening in gevaar stel, kan administrateurs die teenwoordigheid van verdagte aanmeldings ontleed met behulp van die verifikasielogboeke op hul bedieners, en kan die gebruikers die lys evalueer toestelle wat aan hul rekening gekoppel is vir onlangse heraansluitings en veranderinge in vertrouestatus.

Fuente: https://matrix.org


Die inhoud van die artikel voldoen aan ons beginsels van redaksionele etiek. Klik op om 'n fout te rapporteer hier.

Wees die eerste om te kommentaar lewer

Laat u kommentaar

Jou e-posadres sal nie gepubliseer word nie. Verpligte velde gemerk met *

*

*

  1. Verantwoordelik vir die data: Miguel Ángel Gatón
  2. Doel van die data: Beheer SPAM, bestuur van kommentaar.
  3. Wettiging: U toestemming
  4. Kommunikasie van die data: Die data sal nie aan derde partye oorgedra word nie, behalwe deur wettige verpligtinge.
  5. Datastoor: databasis aangebied deur Occentus Networks (EU)
  6. Regte: U kan u inligting te alle tye beperk, herstel en verwyder.