મેટ્રિક્સ એક ઓપન ઇન્સ્ટન્ટ મેસેજિંગ પ્રોટોકોલ છે. તે વપરાશકર્તાઓને ઓનલાઈન ચેટ, વોઈસ ઓવર આઈપી અને વિડિયો ચેટ દ્વારા વાતચીત કરવાની મંજૂરી આપવા માટે રચાયેલ છે.
તાજેતરમાં પ્લેટફોર્મ વિકાસકર્તાઓ વિકેન્દ્રિત સંચારs «મેટ્રિક્સ» એ વિવિધ નબળાઈઓ વિશે ચેતવણી બહાર પાડી જે શોધી કાઢવામાં આવ્યા હતા અને તેઓ જટિલ છે matrix-js-sdk, matrix-ios-sdk, અને matrix-android-sdk2 લાઇબ્રેરીઓમાં જે સર્વર એડમિનિસ્ટ્રેટર્સને અન્ય વપરાશકર્તાઓની નકલ કરવાની અને એન્ડ-ટુ-એન્ડ એન્ક્રિપ્ટેડ ચેટ્સ (E2EE) ના સંદેશાઓ વાંચવાની મંજૂરી આપે છે.
તેવો ઉલ્લેખ છે હુમલાને સફળતાપૂર્વક પૂર્ણ કરવા માટે, હુમલાખોરો દ્વારા નિયંત્રિત હોમ સર્વરને એક્સેસ કરવું આવશ્યક છે (હોમ સર્વર: ક્લાયન્ટ ઇતિહાસ અને એકાઉન્ટ્સ સ્ટોર કરવા માટેનું સર્વર). ક્લાયંટ સાઇડ પર એન્ડ-ટુ-એન્ડ એન્ક્રિપ્શનનો ઉપયોગ સર્વર એડમિનિસ્ટ્રેટરને મેસેજિંગમાં હસ્તક્ષેપ કરવાની મંજૂરી આપતું નથી, પરંતુ ઓળખાયેલી નબળાઈઓ આ સુરક્ષાને અટકાવવાની મંજૂરી આપે છે.
સમસ્યાઓ મુખ્ય એલિમેન્ટ મેટ્રિક્સ ક્લાયંટને અસર કરે છે વેબ, ડેસ્કટૉપ, iOS અને એન્ડ્રોઇડ માટે (અગાઉનું Riot) તેમજ સિન્ની, બીપર, શિલ્ડીચેટ, સર્ક્યુલી અને Synod.im જેવી તૃતીય-પક્ષ ક્લાયંટ એપ્સ.
મેટ્રિક્સ-રસ્ટ-એસડીકે, હાઇડ્રોજન-એસડીકે, મેટ્રિક્સ ડાર્ટ એસડીકે, મૌટ્રિક્સ-પાયથોન, મૌટ્રિક્સ-ગો અને મેટ્રિક્સ-નીઓ તેમજ હાઇડ્રોજન, એલિમેન્ટએક્સ, નેકો, ફ્લફીચેટ, સિફન, ટિમી, લાઇબ્રેરીઓમાં નબળાઈઓ દેખાતી નથી. ગોમુક્સ અને પેન્ટલાઈમોન એપ્લિકેશન્સ.
નોંધ કરો કે ગંભીર ગંભીરતાના મુદ્દાઓ મેટ્રિક્સ-જેએસ-એસડીકે અને ડેરિવેટિવ્ઝમાં અમલીકરણની સમસ્યાઓ છે અને મેટ્રિક્સમાં પ્રોટોકોલ સમસ્યાઓ નથી. અમે જોયેલા સંશોધકોના પેપરનું નવીનતમ સંસ્કરણ એલિમેન્ટને "બેન્ચમાર્ક મેટ્રિક્સ ક્લાયન્ટ" તરીકે ખોટી રીતે ચિત્રિત કરે છે અને નીચી ગંભીરતા પ્રોટોકોલ ટીકા સાથે ઉચ્ચ ગંભીરતા અમલીકરણની ભૂલોને મૂંઝવે છે.
ત્રણ દૃશ્યો છે મુખ્ય હુમલો:
- મેટ્રિક્સ સર્વર એડમિનિસ્ટ્રેટર ક્રોસ-સિગ્નેચરનો ઉપયોગ કરીને અને અન્ય વપરાશકર્તાનો ઢોંગ કરીને ઇમોજી-આધારિત ચકાસણી (એસએએસ, શોર્ટ ઓથેન્ટિકેશન ચેઇન્સ) તોડી શકે છે. આ સમસ્યા ઉપકરણ ID હેન્ડલિંગ અને ક્રોસ-સાઇનિંગ કીના સંયોજનથી સંબંધિત મેટ્રિક્સ-js-sdk કોડમાં નબળાઈ (CVE-2022-39250)ને કારણે છે.
- એક હુમલાખોર જે સર્વરને નિયંત્રિત કરે છે તે વિશ્વસનીય પ્રેષકનો ઢોંગ કરી શકે છે અને અન્ય વપરાશકર્તાઓના સંદેશાને અટકાવવા માટે નકલી કી પસાર કરી શકે છે. આ સમસ્યા matrix-js-sdk (CVE-2022-39251), matrix-ios-sdk (CVE-2022-39255), અને matrix-android-sdk2 (CVE-2022-39248) માં નબળાઈને કારણે છે, જેના કારણે ક્લાયંટ ઓલ્મને બદલે મેગોલમ પ્રોટોકોલનો ઉપયોગ કરીને એન્ક્રિપ્ટેડ ઉપકરણોને સંબોધિત સંદેશાઓને ખોટી રીતે સ્વીકારે છે, સંદેશાઓને વાસ્તવિક પ્રેષકને બદલે મેગોલમ પ્રેષકને આભારી છે.
- અગાઉના ફકરામાં દર્શાવેલ નબળાઈઓનો ઉપયોગ કરીને, સર્વર એડમિનિસ્ટ્રેટર સંદેશાઓને એન્ક્રિપ્ટ કરવા માટે વપરાતી કીને કાઢવા માટે વપરાશકર્તા ખાતામાં ડમી સ્પેર કી પણ ઉમેરી શકે છે.
સંશોધકો જેમણે નબળાઈ ઓળખી તૃતીય-પક્ષ વપરાશકર્તાને ચેટમાં ઉમેરતા હુમલાઓ પણ દર્શાવ્યા અથવા તૃતીય-પક્ષ ઉપકરણને વપરાશકર્તા સાથે કનેક્ટ કરો. હુમલાઓ એ હકીકત પર આધારિત છે કે ચેટમાં વપરાશકર્તાઓને ઉમેરવા માટે ઉપયોગમાં લેવાતા સેવા સંદેશાઓ ચેટ સર્જકની કી સાથે જોડાયેલા નથી અને સર્વર એડમિનિસ્ટ્રેટર દ્વારા જનરેટ કરી શકાય છે.
મેટ્રિક્સ પ્રોજેક્ટના વિકાસકર્તાઓએ આ નબળાઈઓને ગૌણ તરીકે વર્ગીકૃત કરી છે, કારણ કે આવા મેનિપ્યુલેશન્સ મેટ્રિક્સમાં સહજ નથી અને માત્ર પ્રોટોકોલ પર આધારિત ક્લાયન્ટ્સને અસર કરે છે, પરંતુ તેનો અર્થ એ નથી કે તેઓનું ધ્યાન નહીં જાય: જો કોઈ વપરાશકર્તાને બદલવામાં આવે, તો તે ચેટ વપરાશકર્તાઓની સૂચિમાં બતાવવામાં આવશે, અને જ્યારે ઉમેરવામાં આવશે ઉપકરણ, એક ચેતવણી પ્રદર્શિત કરવામાં આવશે અને ઉપકરણને ચકાસાયેલ તરીકે ચિહ્નિત કરવામાં આવશે (આ કિસ્સામાં, અનધિકૃત ઉપકરણ ઉમેર્યા પછી તરત જ, તે સંદેશાઓને ડિક્રિપ્ટ કરવા માટે જરૂરી જાહેર કી પ્રાપ્ત કરવાનું શરૂ કરશે.
તમે જોશો કે matrix-rust-sdk, hydrogen-sdk અને અન્ય XNUMXજી અને XNUMXજી પેઢીના SDK અહીં જટિલ સમસ્યાઓના મૂળ કારણમાંની ભૂલોથી પ્રભાવિત થયા નથી. આ જ કારણ છે કે અમે પ્રથમ પેઢીના SDK ને મેટ્રિક્સ-રસ્ટ-sdk ના સ્વરૂપમાં રસ્ટના સ્વચ્છ, કાળજીપૂર્વક લેખિત અમલીકરણ સાથે બદલવા માટે કામ કરી રહ્યા છીએ, જે ચાલુ સ્વતંત્ર જાહેર ઓડિટ સાથે પૂર્ણ થાય છે.
નબળાઈઓ વ્યક્તિગત અમલીકરણમાં ભૂલોને કારણે થાય છે મેટ્રિક્સ પ્રોટોકોલ અને તેઓ પ્રોટોકોલની સમસ્યા નથી. હાલમાં, પ્રોજેક્ટે સમસ્યારૂપ SDK અને તેમની ટોચ પર બનેલી કેટલીક ક્લાયન્ટ એપ્લિકેશન્સ માટે અપડેટ્સ પ્રકાશિત કર્યા છે.
છેવટે હા તમે તેના વિશે વધુ જાણવા માટે સક્ષમ થવામાં રસ ધરાવો છો, તમે માં વિગતો ચકાસી શકો છો નીચેની કડી