በአብዛኛዎቹ የማትሪክስ ደንበኞች ውስጥ ተጋላጭነቶች ተገኝተዋል

በቅርቡ ተጋላጭነቶች ተለይተዋል የሚል ዜና ተለቀቀ (CVE-2021-40823 ፣ CVE-2021-40824) በአብዛኛዎቹ የደንበኛ መተግበሪያዎች ውስጥ ላልተማከለ የመገናኛ መድረክ ማትሪክስ ፣ ከጫፍ እስከ ጫፍ ኢንክሪፕት በተደረጉ ውይይቶች (E2EE) ውስጥ መልዕክቶችን ለማስተላለፍ ጥቅም ላይ ስለዋሉ ቁልፎች መረጃ ለማግኘት ያስችላል።

ከተጠቃሚዎች አንዱን ያዋረደ አጥቂ ከጫት ቀደም ሲል የተላኩ መልዕክቶችን ዲክሪፕት ማድረግ ይችላል ለዚህ ተጠቃሚ ከተጋላጭ የደንበኛ መተግበሪያዎች። የተሳካ ክወና የመልዕክት ተቀባዩ ሂሳብ መድረስን ይፈልጋል እና መዳረሻ በሁለቱም በመለያ መለኪያዎች ፍሰት እና ተጠቃሚው በሚገናኝበት የማትሪክስ አገልጋይ በመጥለፍ ሊገኝ ይችላል።

የሚለው ተጠቅሷል ተጋላጭነቶች አጥቂዎች የሚቆጣጠሩት የማትሪክስ አገልጋዮች ለተገናኙባቸው ኢንክሪፕት የተደረገ የውይይት ክፍሎች ተጠቃሚዎች በጣም አደገኛ ናቸው። የእንደዚህ ያሉ አገልጋዮች አስተዳዳሪዎች ከአደጋ ተጋላጭ ከሆኑ የደንበኛ መተግበሪያዎች ለመወያየት የተላኩ መልዕክቶችን ለመጥለፍ የአገልጋዩን ተጠቃሚዎች ለማስመሰል መሞከር ይችላሉ።

ተጋላጭነቶች ቁልፎችን እንደገና ለመዳረስ በአሠራሩ አተገባበር ውስጥ ሎጂካዊ ስህተቶች ይከሰታሉ በተለያዩ ደንበኞች ውስጥ የቀረቡ ሀሳቦች። በማትሪክስ- ios-sdk ፣ ማትሪክስ-ኒዮ ፣ እና ሊቦልም ቤተ-መጻሕፍት ላይ የተመሠረቱ ትግበራዎች ለአደጋ ተጋላጭ አይደሉም።

በዚህ መሠረት ችግር ያለበት ኮድ በተበደሩ ሁሉም መተግበሪያዎች ውስጥ ተጋላጭነቶች ይታያሉ y እነሱ ማትሪክስ እና ኦልም / ሜጎልም ፕሮቶኮሎችን በቀጥታ አይነኩም።

በተለይ ጉዳዩ ለድር ፣ ለዴስክቶፕ እና ለ Android እንዲሁም እንደ FluffyChat ፣ Nheko ፣ Cinny ፣ እና SchildiChat ያሉ የዋናው ኤለመንት ማትሪክስ (የቀድሞው ሪዮት) ደንበኛን ይነካል። ችግሩ በይፋዊው የ iOS ደንበኛ ወይም በቻቲ ፣ ሃይድሮጂን ፣ ማትሪክስ ፣ ሐምራዊ-ማትሪክስ እና ሲፎን መተግበሪያዎች ውስጥ አይታይም።

የተጎዱት ደንበኞች የታጠቁ ስሪቶች አሁን ይገኛሉ። ስለዚህ በተቻለ ፍጥነት እንዲዘመን ተጠይቋል እና ለተፈጠረው ችግር ይቅርታ እንጠይቃለን። ማሻሻል ካልቻሉ ፣ እስኪችሉ ድረስ ተጋላጭ የሆኑ ደንበኞችን ከመስመር ውጭ ለማቆየት ያስቡበት። ተጋላጭ የሆኑ ደንበኞች ከመስመር ውጭ ከሆኑ ቁልፎቹን ለመግለጥ ሊታለሉ አይችሉም። አንዴ ካዘመኑ በኋላ ወደ መስመር ላይ በደህና ይመለሱ ይሆናል።

እንደ አለመታደል ሆኖ ፣ በደንበኞች እና በአገልጋዮች ላይ በመደበኛ የምዝግብ ማስታወሻዎች ደረጃዎች የዚህን ጥቃት አጋጣሚዎች ወደ ኋላ ለመመለስ አስቸጋሪ ወይም የማይቻል ነው። ሆኖም ፣ ጥቃቱ መለያውን ማበላሸት ስለሚፈልግ ፣ የቤት አገልጋይ አስተዳዳሪዎች ለማንኛውም ተገቢ ያልሆነ የመዳረሻ ምልክቶች የማረጋገጫ ምዝግብ ማስታወሻዎቻቸውን ለመገምገም ይፈልጉ ይሆናል።

ተጋላጭነቶች የተገኙበት የቁልፍ መለወጫ ዘዴ ፣ ቁልፎች የሌሉት ደንበኛ አንድ መልእክት ዲክሪፕት ለማድረግ ከላኪው መሣሪያ ወይም ከሌሎች መሣሪያዎች ቁልፎችን እንዲጠይቅ ያስችለዋል።

ለምሳሌ ፣ ይህ ችሎታ በተጠቃሚው አዲስ መሣሪያ ላይ ወይም ተጠቃሚው ያሉትን ቁልፎች በጠፋበት ጊዜ የድሮ መልዕክቶችን ዲክሪፕት ለማድረግ አስፈላጊ ነው። የፕሮቶኮል መግለጫው ለቁልፍ ጥያቄዎች ምላሽ ላለመስጠት እና ለተመሳሳይ ተጠቃሚ ለተረጋገጡ መሣሪያዎች በራስ -ሰር ለመላክ በነባሪነት ያዛል። እንደ አለመታደል ሆኖ በተግባራዊ አተገባበርዎች ውስጥ ይህ መስፈርት አልተሟላም እና ቁልፎች የመላክ ጥያቄዎች ያለ ትክክለኛ የመሣሪያ መለያ ተስተናግደዋል።

በኤለመንት ደንበኛ የደህንነት ኦዲት ወቅት ተጋላጭነቶቹ ተለይተዋል። ጥገናዎቹ አሁን ለተቸገሩ ደንበኞች ሁሉ ይገኛሉ። ዝመናውን ከመጫንዎ በፊት ተጠቃሚዎች ዝመናዎችን በአስቸኳይ እንዲጭኑ እና ደንበኞችን እንዲያቋርጡ ይመከራሉ።

ግምገማው ከመለቀቁ በፊት ተጋላጭነትን ለመበዝበዝ ምንም ማስረጃ አልነበረም. መደበኛውን ደንበኛ እና የአገልጋይ ምዝግብ ማስታወሻዎችን በመጠቀም የጥቃትን እውነታ መወሰን አይቻልም ፣ ነገር ግን ጥቃቱ መለያውን ማበላሸት ስለሚፈልግ ፣ አስተዳዳሪዎች በአገልጋዮቻቸው ላይ የማረጋገጫ ምዝግብ ማስታወሻዎችን በመጠቀም አጠራጣሪ ምዝግቦች መኖራቸውን መተንተን ይችላሉ ፣ እና ተጠቃሚዎች ዝርዝሩን መገምገም ይችላሉ። ለቅርብ ጊዜ ግንኙነት እና የእምነት ሁኔታ ለውጦች ከመለያቸው ጋር የተገናኙ መሣሪያዎች።

ምንጭ https://matrix.org


የጽሑፉ ይዘት የእኛን መርሆዎች ያከብራል የአርትዖት ሥነ ምግባር. የስህተት ጠቅ ለማድረግ እዚህ.

አስተያየት ለመስጠት የመጀመሪያው ይሁኑ

አስተያየትዎን ይተው

የእርስዎ ኢሜይል አድራሻ ሊታተም አይችልም. የሚያስፈልጉ መስኮች ጋር ምልክት ይደረግባቸዋል *

*

*

  1. ለመረጃው ኃላፊነት ያለው: ሚጌል Áንጌል ጋቶን
  2. የመረጃው ዓላማ-ቁጥጥር SPAM ፣ የአስተያየት አስተዳደር ፡፡
  3. ህጋዊነት-የእርስዎ ፈቃድ
  4. የመረጃው ግንኙነት-መረጃው በሕጋዊ ግዴታ ካልሆነ በስተቀር ለሶስተኛ ወገኖች አይተላለፍም ፡፡
  5. የውሂብ ማከማቻ በኦክሴንትስ አውታረመረቦች (አውሮፓ) የተስተናገደ የውሂብ ጎታ
  6. መብቶች-በማንኛውም ጊዜ መረጃዎን መገደብ ፣ መልሰው ማግኘት እና መሰረዝ ይችላሉ ፡፡