ম্যাট্রিক্স একটি ওপেন ইনস্ট্যান্ট মেসেজিং প্রোটোকল। এটি ব্যবহারকারীদের অনলাইন চ্যাট, ভয়েস ওভার আইপি এবং ভিডিও চ্যাটের মাধ্যমে যোগাযোগ করার অনুমতি দেওয়ার জন্য ডিজাইন করা হয়েছে।
সম্প্রতি প্ল্যাটফর্ম ডেভেলপার বিকেন্দ্রীভূত যোগাযোগs «ম্যাট্রিক্স» বিভিন্ন দুর্বলতা সম্পর্কে একটি সতর্কতা প্রকাশ করেছে যে সনাক্ত করা হয়েছে এবং তারা সমালোচনামূলক matrix-js-sdk, matrix-ios-sdk, এবং matrix-android-sdk2 লাইব্রেরিতে যা সার্ভার প্রশাসকদের অন্য ব্যবহারকারীদের ছদ্মবেশ ধারণ করতে এবং এন্ড-টু-এন্ড এনক্রিপ্ট করা চ্যাট (E2EE) থেকে বার্তা পড়তে দেয়।
এটি উল্লেখ করা হয় একটি আক্রমণ সফলভাবে সম্পূর্ণ করতে, আক্রমণকারীদের দ্বারা নিয়ন্ত্রিত একটি হোম সার্ভার অ্যাক্সেস করতে হবে (হোম সার্ভার: ক্লায়েন্ট ইতিহাস এবং অ্যাকাউন্ট সংরক্ষণের জন্য একটি সার্ভার)। ক্লায়েন্ট সাইডে এন্ড-টু-এন্ড এনক্রিপশনের ব্যবহার সার্ভার অ্যাডমিনিস্ট্রেটরকে মেসেজিং-এ হস্তক্ষেপ করার অনুমতি দেয় না, তবে চিহ্নিত দুর্বলতাগুলি এই সুরক্ষাকে ঠেকাতে দেয়।
সমস্যাগুলি প্রধান উপাদান ম্যাট্রিক্স ক্লায়েন্টকে প্রভাবিত করে ওয়েব, ডেস্কটপ, আইওএস এবং অ্যান্ড্রয়েডের পাশাপাশি সিনি, বিপার, শিল্ডিচ্যাট, সার্কুলি এবং Synod.im-এর মতো তৃতীয় পক্ষের ক্লায়েন্ট অ্যাপগুলির জন্য (পূর্বে Riot)।
দুর্বলতাগুলি ম্যাট্রিক্স-রাস্ট-এসডিকে, হাইড্রোজেন-এসডিকে, ম্যাট্রিক্স ডার্ট এসডিকে, মৌট্রিক্স-পাইথন, মৌট্রিক্স-গো, এবং ম্যাট্রিক্স-নিও, সেইসাথে হাইড্রোজেন, এলিমেন্টএক্স, নেকো, ফ্লফিচ্যাট, সিফোন, টিমি, লাইব্রেরিতে প্রদর্শিত হয় না। গোমুক, এবং প্যান্টলাইমন অ্যাপ্লিকেশন।
মনে রাখবেন যে গুরুতর গুরুতর সমস্যাগুলি ম্যাট্রিক্স-জেএস-এসডিকে এবং ডেরিভেটিভস-এ বাস্তবায়নের সমস্যা, এবং ম্যাট্রিক্সে প্রোটোকল সমস্যা নয়। গবেষকদের গবেষণাপত্রের সর্বশেষ সংস্করণটি আমরা ভুলভাবে উপাদানটিকে "বেঞ্চমার্ক ম্যাট্রিক্স ক্লায়েন্ট" হিসাবে চিত্রিত করে এবং নিম্ন তীব্রতার প্রোটোকল সমালোচনার সাথে উচ্চতর তীব্রতা বাস্তবায়ন ত্রুটিগুলিকে বিভ্রান্ত করে।
তিনটি দৃশ্যকল্প আছে প্রধান আক্রমণ:
- ম্যাট্রিক্স সার্ভার অ্যাডমিনিস্ট্রেটর ক্রস-স্বাক্ষর ব্যবহার করে এবং অন্য ব্যবহারকারীর ছদ্মবেশী করে ইমোজি-ভিত্তিক যাচাইকরণ (SAS, সংক্ষিপ্ত প্রমাণীকরণ চেইন) ভাঙতে পারে। ডিভাইস আইডি হ্যান্ডলিং এবং ক্রস-সাইনিং কীগুলির সংমিশ্রণ সম্পর্কিত ম্যাট্রিক্স-js-sdk কোডে একটি দুর্বলতা (CVE-2022-39250) এর কারণে সমস্যাটি হয়েছে৷
- সার্ভার নিয়ন্ত্রণকারী একজন আক্রমণকারী একজন বিশ্বস্ত প্রেরকের ছদ্মবেশ ধারণ করতে পারে এবং অন্য ব্যবহারকারীদের থেকে বার্তা আটকাতে একটি জাল কী পাস করতে পারে। সমস্যাটি ম্যাট্রিক্স-জেএস-এসডিকে (CVE-2022-39251), ম্যাট্রিক্স-ios-sdk (CVE-2022-39255), এবং ম্যাট্রিক্স-android-sdk2 (CVE-2022-39248) এর দুর্বলতার কারণে হয়েছে। ক্লায়েন্ট ভুলভাবে Olm এর পরিবর্তে Megolm প্রোটোকল ব্যবহার করে এনক্রিপ্ট করা ডিভাইসগুলিতে সম্বোধন করা বার্তাগুলি গ্রহণ করে, বার্তাগুলিকে প্রকৃত প্রেরকের পরিবর্তে Megolm প্রেরককে দায়ী করে৷
- পূর্ববর্তী অনুচ্ছেদে উল্লিখিত দুর্বলতাগুলিকে কাজে লাগিয়ে, সার্ভার অ্যাডমিনিস্ট্রেটর বার্তাগুলি এনক্রিপ্ট করতে ব্যবহৃত কীগুলি বের করতে ব্যবহারকারীর অ্যাকাউন্টে একটি ডামি অতিরিক্ত কী যোগ করতে পারে।
গবেষকরা যারা দুর্বলতা চিহ্নিত করেছেন এছাড়াও আক্রমণগুলি প্রদর্শন করেছে যা একটি চ্যাটে তৃতীয় পক্ষের ব্যবহারকারীকে যুক্ত করে অথবা ব্যবহারকারীর সাথে একটি তৃতীয় পক্ষের ডিভাইস সংযুক্ত করুন। আক্রমণগুলি এই সত্যের উপর ভিত্তি করে যে চ্যাটে ব্যবহারকারীদের যুক্ত করতে ব্যবহৃত পরিষেবা বার্তাগুলি চ্যাট নির্মাতার কীগুলির সাথে লিঙ্ক করা হয় না এবং সার্ভার প্রশাসক দ্বারা তৈরি করা যেতে পারে৷
ম্যাট্রিক্স প্রকল্পের বিকাশকারীরা এই দুর্বলতাগুলিকে গৌণ হিসাবে শ্রেণীবদ্ধ করেছে, যেহেতু এই ধরনের ম্যানিপুলেশনগুলি ম্যাট্রিক্সের অন্তর্নিহিত নয় এবং শুধুমাত্র প্রোটোকলের উপর ভিত্তি করে ক্লায়েন্টদের প্রভাবিত করে, তবে এর মানে এই নয় যে তারা অলক্ষিত হবে না: যদি একজন ব্যবহারকারীকে প্রতিস্থাপিত করা হয়, এটি চ্যাট ব্যবহারকারীদের তালিকায় দেখানো হবে, এবং যখন যোগ করা হবে একটি ডিভাইস, একটি সতর্কতা প্রদর্শিত হবে এবং ডিভাইসটিকে অযাচাইকৃত হিসাবে চিহ্নিত করা হবে (এই ক্ষেত্রে, অননুমোদিত ডিভাইসটি যোগ করার সাথে সাথেই, এটি বার্তাগুলি ডিক্রিপ্ট করার জন্য প্রয়োজনীয় সর্বজনীন কীগুলি পেতে শুরু করবে৷
আপনি লক্ষ্য করবেন যে ম্যাট্রিক্স-রস্ট-এসডিকে, হাইড্রোজেন-এসডিকে এবং অন্যান্য XNUMXয় এবং XNUMXয় প্রজন্মের SDKগুলি এখানে জটিল সমস্যাগুলির মূল কারণগুলির বাগ দ্বারা প্রভাবিত হয়নি৷ ঠিক এই কারণেই আমরা প্রথম-প্রজন্মের SDK-গুলিকে একটি পরিচ্ছন্ন, যত্ন সহকারে লিখিত বাস্তবায়নের সাথে ম্যাট্রিক্স-রস্ট-sdk আকারে, একটি চলমান স্বাধীন পাবলিক অডিটের মাধ্যমে সম্পূর্ণরূপে প্রতিস্থাপন করার জন্য কাজ করছি।
স্বতন্ত্র বাস্তবায়নে ত্রুটির কারণে দুর্বলতা সৃষ্টি হয় ম্যাট্রিক্স প্রোটোকল এবং এগুলি প্রোটোকলের সমস্যা নয়। বর্তমানে, প্রকল্পটি সমস্যাযুক্ত SDK এবং তাদের উপরে নির্মিত কিছু ক্লায়েন্ট অ্যাপ্লিকেশনগুলির জন্য আপডেট প্রকাশ করেছে।
অবশেষে হ্যাঁ আপনি এটি সম্পর্কে আরও জানতে আগ্রহী, আপনি বিশদে পরীক্ষা করতে পারেন নিম্নলিখিত লিঙ্ক.