Vundeblecoj estis trovitaj en plej multaj Matrix-klientoj

Ĵus la novaĵo estis publikigita ke vundeblecoj estis identigitaj (CVE-2021-40823, CVE-2021-40824) en plej multaj klientaj aplikaĵoj por la malcentralizita komunikada platformo Matrico, kiuj permesas akiri informojn pri la ŝlosiloj uzataj por transdoni mesaĝojn en ĉifritaj fin-al-finaj retbabiloj (E2EE).

Atakanto, kiu kompromitis unu el la uzantoj de la babilejo povas deĉifri antaŭe senditajn mesaĝojn al ĉi tiu uzanto de vundeblaj klientaj aplikoj. Sukcesa funkciado postulas aliron al la konto de la ricevanto de mesaĝo kaj aliro povas esti akirita kaj per likado de kontaj parametroj kaj per hakado de la Matrix-servilo tra kiu la uzanto konektas.

Oni mencias tion la vundeblecoj estas plej danĝeraj por uzantoj de ĉifritaj babilejoj al kiuj konektitaj atakantoj kontrolitaj Matrix-serviloj. Administrantoj de tiaj serviloj povas provi parodii uzantojn de la servilo por kapti mesaĝojn senditajn por babili de vundeblaj klientaj programoj.

Vundeblecoj estas kaŭzitaj de logikaj eraroj en la efektivigoj de la mekanismo doni reagordon al ŝlosiloj proponoj en la malsamaj klientoj detektitaj. Efektivigoj bazitaj sur la bibliotekoj matrix-ios-sdk, matrix-nio kaj libolm ne estas vundeblaj al vundeblecoj.

Laŭe vundeblecoj aperas en ĉiuj aplikoj, kiuj pruntis la probleman kodon y ili ne rekte influas la protokolojn Matrix kaj Olm / Megolm.

Specife, la afero influas la kernan klienton Element Matrix (antaŭe Riot) por la retejo, labortablo kaj Android, same kiel triaj klientaj programoj kaj bibliotekoj, kiel FluffyChat, Nheko, Cinny kaj SchildiChat. La problemo ne aperas en la oficiala iOS-kliento, nek en la programoj Chatty, Hydrogen, mautrix, purpura-matrico kaj Siphon.

La flikitaj versioj de la trafitaj klientoj nun haveblas; do oni petas ĝin ĝisdatigi kiel eble plej baldaŭ kaj ni pardonpetas pro la ĝeno. Se vi ne povas ĝisdatigi, konsideru konservi vundeblajn klientojn eksterrete ĝis vi povos. Se vundeblaj klientoj estas eksterrete, ili ne trompas ilin malkaŝi la ŝlosilojn. Ili eble revenos sekure interrete post kiam ili estos ĝisdatigitaj.

Bedaŭrinde, estas malfacile aŭ maleble retroaktive identigi kazojn de ĉi tiu atako kun normaj protokolaj niveloj ĉe ambaŭ klientoj kaj serviloj. Tamen, ĉar la atako postulas kompromiti la konton, administrantoj de hejmaj serviloj eble dezirus revizii siajn aŭtentikajn protokolojn pri iuj signoj de netaŭga aliro.

La ŝlosila interŝanĝa mekanismo, en kies efektivigo troviĝis vundeblecoj, permesas al kliento, kiu ne havas la ŝlosilojn deĉifri mesaĝon, peti ŝlosilojn de la aparato de la sendinto aŭ aliaj aparatoj.

Ekzemple, ĉi tiu kapablo necesas por certigi la deĉifradon de malnovaj mesaĝoj sur la nova aparato de la uzanto aŭ en la okazo ke la uzanto perdas ekzistantajn ŝlosilojn. La protokola specifo preskribas ne respondi al ŝlosilaj petoj kaj aŭtomate sendi ilin nur al kontrolitaj aparatoj de la sama uzanto. Bedaŭrinde, en praktikaj efektivigoj, ĉi tiu postulo ne estis plenumita kaj petoj sendi ŝlosilojn estis prilaboritaj sen taŭga aparata identigo.

La vundeblecoj estis identigitaj dum sekureca kontrolo de la kliento Element. La korektoj nun haveblas al ĉiuj problemaj klientoj. Oni konsilas al uzantoj urĝe instali ĝisdatigojn kaj malkonekti klientojn antaŭ ol instali la ĝisdatigon.

Estis neniuj pruvoj pri ekspluatado de la vundebleco antaŭ la publikigo de la recenzo. Ne eblas determini la fakton de atako uzante normajn klientajn kaj servilajn protokolojn, sed ĉar la atako postulas kompromiti la konton, administrantoj povas analizi la ĉeeston de suspektindaj ensalutoj uzante la aŭtentikajn protokolojn en siaj serviloj, kaj la Uzantoj povas taksi la liston de aparatoj ligitaj al sia konto por lastatempaj religoj kaj fidaj statusaj ŝanĝoj.

Fonto: https://matrix.org


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

Estu la unua por komenti

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.