Atopáronse vulnerabilidades na maioría dos clientes de Matrix

Recientemente publicouse a noticia de que se identificaron vulnerabilidades (CVE-2021-40823, CVE-2021-40824) na maioría das aplicacións de clientes para a plataforma de comunicacións descentralizadas Matriz, que permiten obter información sobre as claves empregadas para transferir mensaxes en chats encriptados de extremo a extremo (E2EE).

Un atacante que comprometeu a un dos usuarios dende o chat pode descifrar as mensaxes enviadas previamente a este usuario desde aplicacións de clientes vulnerables. O funcionamento correcto require o acceso á conta do destinatario da mensaxe e pódese obter tanto a través dunha filtración de parámetros da conta como pirateando o servidor Matrix a través do cal se conecta o usuario.

Menciónase que as vulnerabilidades son máis perigosas para os usuarios de salas de chat cifradas ás que están conectados servidores Matrix controlados por atacantes. Os administradores destes servidores poden intentar suplantar aos usuarios do servidor para interceptar as mensaxes enviadas ao chat desde aplicacións de clientes vulnerables.

Vulnerabilidades son causadas por erros lóxicos nas implementacións do mecanismo para conceder o acceso de novo ás claves propostas nos diferentes clientes detectados. As implementacións baseadas nas bibliotecas matrix-ios-sdk, matrix-nio e libolm non son vulnerables ás vulnerabilidades.

Por conseguinte, as vulnerabilidades aparecen en todas as aplicacións que tomaron prestado o código problemático y non afectan directamente aos protocolos Matrix e Olm / Megolm.

En concreto, o problema afecta ao cliente principal Element Matrix (anteriormente Riot) para a web, o escritorio e Android, así como as aplicacións e bibliotecas de clientes de terceiros, como FluffyChat, Nheko, Cinny e SchildiChat. O problema non aparece no cliente oficial de iOS, nin nas aplicacións Chatty, Hydrogen, mautrix, purple-matrix e Siphon.

Xa están dispoñibles as versións parcheadas dos clientes afectados; polo que se solicita que se actualice canto antes e pedimos desculpas polas molestias. Se non pode actualizar, considere manter clientes vulnerables sen conexión ata que poida. Se os clientes vulnerables están fóra de liña, non poden ser enganados para revelar as claves. É posible que estean de novo en liña de forma segura unha vez que se actualicen.

Desafortunadamente, é difícil ou imposible identificar retroactivamente as instancias deste ataque cos niveis de rexistro estándar presentes tanto en clientes como en servidores. Non obstante, dado que o ataque require comprometer a conta, os administradores do servidor doméstico poden querer revisar os seus rexistros de autenticación se hai sinais de acceso inadecuado.

O mecanismo de intercambio de claves, na implementación do cal se atoparon vulnerabilidades, permite a un cliente que non ten as claves descifrar unha mensaxe solicitar claves do dispositivo do remitente ou doutros dispositivos.

Por exemplo, esta capacidade é necesaria para garantir o descifrado de mensaxes antigas no novo dispositivo do usuario ou no caso de que o usuario perda as claves existentes. A especificación do protocolo prescribe por defecto que non responda ás solicitudes de claves e que as envíe automaticamente só aos dispositivos verificados do mesmo usuario. Por desgraza, nas implementacións prácticas, este requisito non se cumpriu e as solicitudes de envío de claves procesáronse sen a identificación adecuada do dispositivo.

As vulnerabilidades identificáronse durante unha auditoría de seguridade do cliente Element. As correccións están agora dispoñibles para todos os clientes con problemas. Recoméndase aos usuarios que instale urxentemente as actualizacións e desconecte os clientes antes de instalar a actualización.

Non houbo probas de explotar a vulnerabilidade antes da publicación da revisión. É imposible determinar o feito dun ataque usando rexistros estándar de clientes e servidores, pero dado que o ataque require comprometer a conta, os administradores poden analizar a presenza de inicios de sesión sospeitosos empregando os rexistros de autenticación nos seus servidores e os usuarios poden avaliar a lista de dispositivos ligados á súa conta para reconectacións recentes e cambios de estado de confianza.

Fuente: https://matrix.org


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.