সম্প্রতি খবর প্রকাশিত হয়েছিল যে দুর্বলতাগুলি চিহ্নিত করা হয়েছিল (সিভিই -2021-40823, সিভিই -2021-40824) বেশিরভাগ ক্লায়েন্ট অ্যাপ্লিকেশনে বিকেন্দ্রীভূত যোগাযোগ প্ল্যাটফর্মের জন্য ম্যাট্রিক্স, যা এনক্রিপ্টেড এন্ড-টু-এন্ড চ্যাটে (E2EE) বার্তা স্থানান্তর করতে ব্যবহৃত কী সম্পর্কে তথ্য পাওয়ার অনুমতি দেয়।
একজন আক্রমণকারী যিনি একজন ব্যবহারকারীর সাথে আপোষ করেছেন চ্যাট থেকে পূর্বে পাঠানো বার্তাগুলি ডিক্রিপ্ট করতে পারে দুর্বল ক্লায়েন্ট অ্যাপ্লিকেশন থেকে এই ব্যবহারকারীর জন্য। সফল অপারেশনের জন্য বার্তা প্রাপকের অ্যাকাউন্টে প্রবেশাধিকার প্রয়োজন এবং অ্যাকাউন্ট প্যারামিটার লিকের মাধ্যমে এবং ব্যবহারকারী সংযোগকারী ম্যাট্রিক্স সার্ভার হ্যাক করে উভয়ই অ্যাক্সেস পেতে পারে।
এটি উল্লেখ করা হয় দুর্বলতাগুলি এনক্রিপ্ট করা চ্যাট রুমের ব্যবহারকারীদের জন্য সবচেয়ে বিপজ্জনক যেখানে আক্রমণকারীদের নিয়ন্ত্রিত ম্যাট্রিক্স সার্ভারগুলি সংযুক্ত থাকে। এই ধরনের সার্ভারের প্রশাসকরা দুর্বল ক্লায়েন্ট অ্যাপ্লিকেশন থেকে চ্যাটে পাঠানো বার্তাগুলি আটকানোর জন্য সার্ভারের ব্যবহারকারীদের ছদ্মবেশ ধারণ করার চেষ্টা করতে পারে।
ক্ষতিগ্রস্থতা কীগুলিতে পুনরায় অ্যাক্সেস দেওয়ার প্রক্রিয়াটির বাস্তবায়নে যৌক্তিক ত্রুটির কারণে ঘটে বিভিন্ন ক্লায়েন্টের প্রস্তাব পাওয়া গেছে। ম্যাট্রিক্স- ios-sdk, matrix-nio, এবং libolm লাইব্রেরির উপর ভিত্তি করে বাস্তবায়ন দুর্বলতার জন্য অরক্ষিত নয়।
সেই অনুযায়ী, দুর্বলতাগুলি সমস্ত অ্যাপ্লিকেশনগুলিতে প্রদর্শিত হয় যা সমস্যাযুক্ত কোড ধার করে y তারা সরাসরি ম্যাট্রিক্স এবং ওলম / মেগলম প্রোটোকলগুলিকে প্রভাবিত করে না।
বিশেষ করে, সমস্যাটি ওয়েব, ডেস্কটপ এবং অ্যান্ড্রয়েডের জন্য মূল এলিমেন্ট ম্যাট্রিক্স (পূর্বে দাঙ্গা) ক্লায়েন্টকে প্রভাবিত করে, সেইসাথে তৃতীয় পক্ষের ক্লায়েন্ট অ্যাপ্লিকেশন এবং লাইব্রেরি, যেমন FluffyChat, Nheko, Cinny, এবং SchildiChat। সমস্যাটি অফিসিয়াল আইওএস ক্লায়েন্টে দেখা যায় না, না চ্যাটি, হাইড্রোজেন, মট্রিক্স, বেগুনি-ম্যাট্রিক্স এবং সিফন অ্যাপ্লিকেশনগুলিতে।
প্রভাবিত ক্লায়েন্টদের প্যাচ সংস্করণ এখন উপলব্ধ; তাই এটি যত তাড়াতাড়ি সম্ভব আপডেট করার জন্য অনুরোধ করা হয়েছে এবং অসুবিধার জন্য আমরা দু apologখিত। যদি আপনি আপগ্রেড করতে না পারেন, তাহলে দুর্বল ক্লায়েন্টদের অফলাইনে রাখার কথা বিবেচনা করুন যতক্ষণ না আপনি পারেন। যদি দুর্বল ক্লায়েন্টরা অফলাইনে থাকে, তাহলে তাদের চাবি প্রকাশের ফাঁদে ফেলা যাবে না। তারা আপডেট হয়ে গেলে নিরাপদে অনলাইনে ফিরে আসতে পারে।
দুর্ভাগ্যবশত, ক্লায়েন্ট এবং সার্ভার উভয়েই উপস্থিত স্ট্যান্ডার্ড লগ লেভেলের সাথে এই আক্রমণের দৃষ্টান্তগুলিকে পূর্ব থেকে চিহ্নিত করা কঠিন বা অসম্ভব। যাইহোক, যেহেতু আক্রমণের জন্য অ্যাকাউন্টের সাথে আপস করা প্রয়োজন, তাই হোম সার্ভার প্রশাসকরা অনুপযুক্ত অ্যাক্সেসের কোন চিহ্নের জন্য তাদের প্রমাণীকরণ লগ পর্যালোচনা করতে পারেন।
কী এক্সচেঞ্জ মেকানিজম, যার বাস্তবায়নে দুর্বলতা পাওয়া গেছে, একজন ক্লায়েন্টের কাছে যার কাছে বার্তা ডিক্রিপ্ট করার চাবি নেই, প্রেরকের ডিভাইস বা অন্যান্য ডিভাইস থেকে কী অনুরোধ করার অনুমতি দেয়।
উদাহরণস্বরূপ, ব্যবহারকারীর নতুন ডিভাইসে পুরানো বার্তাগুলির ডিক্রিপশন নিশ্চিত করার জন্য বা ব্যবহারকারী বিদ্যমান কীগুলি হারিয়ে ফেললে এই ক্ষমতাটি প্রয়োজনীয়। প্রোটোকল স্পেসিফিকেশন ডিফল্টরূপে মূল অনুরোধের সাড়া না দেওয়ার জন্য এবং স্বয়ংক্রিয়ভাবে সেগুলি শুধুমাত্র একই ব্যবহারকারীর যাচাইকৃত ডিভাইসে পাঠানোর জন্য নির্দেশ দেয়। দুর্ভাগ্যক্রমে, ব্যবহারিক বাস্তবায়নে, এই প্রয়োজনীয়তা পূরণ করা হয়নি এবং যথাযথ ডিভাইস সনাক্তকরণ ছাড়াই কী পাঠানোর অনুরোধগুলি প্রক্রিয়া করা হয়েছিল।
এলিমেন্ট ক্লায়েন্টের নিরাপত্তা নিরীক্ষার সময় দুর্বলতাগুলি চিহ্নিত করা হয়েছিল। সংশোধনগুলি এখন সব ঝামেলাগ্রস্ত গ্রাহকদের জন্য উপলব্ধ। ব্যবহারকারীদের আপডেট ইনস্টল করার আগে জরুরীভাবে আপডেট ইনস্টল করার এবং ক্লায়েন্টদের সংযোগ বিচ্ছিন্ন করার পরামর্শ দেওয়া হয়।
পর্যালোচনা প্রকাশের আগে দুর্বলতা কাজে লাগানোর কোন প্রমাণ ছিল না। স্ট্যান্ডার্ড ক্লায়েন্ট এবং সার্ভার লগ ব্যবহার করে আক্রমণের সত্যতা নির্ধারণ করা অসম্ভব, কিন্তু যেহেতু আক্রমণের জন্য অ্যাকাউন্টের সাথে আপস করা প্রয়োজন, প্রশাসকরা তাদের সার্ভারে প্রমাণীকরণ লগ ব্যবহার করে সন্দেহজনক লগইনগুলির উপস্থিতি বিশ্লেষণ করতে পারেন এবং ব্যবহারকারীরা তালিকা মূল্যায়ন করতে পারেন সাম্প্রতিক পুনnসংযোগ এবং বিশ্বাসের অবস্থার পরিবর্তনের জন্য তাদের অ্যাকাউন্টের সাথে সংযুক্ত ডিভাইসগুলি।
উৎস: https://matrix.org