તાજેતરમાં સમાચાર જાહેર કરવામાં આવ્યા હતા કે નબળાઈઓ ઓળખવામાં આવી હતી (સીવીઇ -2021-40823, સીવીઇ -2021-40824) મોટાભાગની ક્લાયંટ એપ્લિકેશન્સમાં વિકેન્દ્રિત સંચાર પ્લેટફોર્મ માટે મેટ્રિક્સ, જે એન્ક્રિપ્ટેડ એન્ડ-ટુ-એન્ડ ચેટ્સ (E2EE) માં સંદેશા ટ્રાન્સફર કરવા માટે વપરાતી કીઓ વિશે માહિતી મેળવવાની મંજૂરી આપે છે.
એક હુમલાખોર જેણે એક વપરાશકર્તા સાથે ચેડા કર્યા છે ચેટ માંથી અગાઉ મોકલેલા સંદેશાને ડિક્રિપ્ટ કરી શકે છે નબળા ક્લાયન્ટ એપ્લિકેશન્સમાંથી આ વપરાશકર્તાને. સફળ કામગીરી માટે સંદેશ પ્રાપ્તકર્તાના ખાતાની requiresક્સેસની આવશ્યકતા હોય છે અને parametersક્સેસ એકાઉન્ટ પેરામીટર્સના લીક દ્વારા અને મેટ્રિક્સ સર્વરને હેક કરીને મેળવી શકાય છે જેના દ્વારા વપરાશકર્તા જોડાય છે.
તેવો ઉલ્લેખ છે એન્ક્રિપ્ટેડ ચેટ રૂમના વપરાશકર્તાઓ માટે નબળાઈઓ સૌથી ખતરનાક છે કે જેમાં હુમલાખોરો દ્વારા નિયંત્રિત મેટ્રિક્સ સર્વરો જોડાયેલા છે. આવા સર્વર્સના સંચાલકો નબળા ક્લાયન્ટ એપ્લિકેશન્સમાંથી ચેટ પર મોકલવામાં આવેલા સંદેશાઓને અટકાવવા માટે સર્વરના વપરાશકર્તાઓને ersonોંગ કરવાનો પ્રયાસ કરી શકે છે.
નબળાઈઓ કીઓને ફરીથી accessક્સેસ આપવા મિકેનિઝમના અમલીકરણમાં તાર્કિક ભૂલોને કારણે થાય છે જુદા જુદા ગ્રાહકોની દરખાસ્તો મળી. મેટ્રિક્સ-આઇઓએસ-એસડીકે, મેટ્રિક્સ-નિઓ અને લિબોલમ લાઇબ્રેરીઓ પર આધારિત અમલીકરણ નબળાઈઓ માટે સંવેદનશીલ નથી.
તદનુસાર સમસ્યારૂપ કોડ ઉધાર લેતી તમામ એપ્લિકેશન્સમાં નબળાઈઓ દેખાય છે y તેઓ મેટ્રિક્સ અને ઓલમ / મેગોલમ પ્રોટોકોલને સીધી અસર કરતા નથી.
ખાસ કરીને, આ મુદ્દો વેબ, ડેસ્કટોપ અને એન્ડ્રોઇડ માટે કોર એલિમેન્ટ મેટ્રિક્સ (અગાઉ હુલ્લડ) ક્લાયંટ, તેમજ તૃતીય-પક્ષ ક્લાયંટ એપ્લિકેશન્સ અને લાઇબ્રેરીઓને અસર કરે છે, જેમ કે ફ્લફીચેટ, નેકો, સિની અને શિલ્ડીચેટ. સમસ્યા સત્તાવાર iOS ક્લાયંટમાં દેખાતી નથી, ન તો ચેટી, હાઇડ્રોજન, મેટ્રિક્સ, પર્પલ-મેટ્રિક્સ અને સાઇફન એપ્લિકેશન્સમાં.
અસરગ્રસ્ત ગ્રાહકોના પેચ કરેલા વર્ઝન હવે ઉપલબ્ધ છે; તેથી વિનંતી કરવામાં આવે છે કે તેને જલદીથી અપડેટ કરવામાં આવે અને અમે અસુવિધા માટે દિલગીર છીએ. જો તમે અપગ્રેડ કરી શકતા નથી, તો જ્યાં સુધી તમે કરી શકો ત્યાં સુધી નબળા ગ્રાહકોને offlineફલાઇન રાખવાનું વિચારો. જો નબળા ગ્રાહકો offlineફલાઇન હોય, તો તેઓ ચાવીઓ જાહેર કરવામાં છેતરાઈ શકતા નથી. એકવાર તેઓ અપડેટ થયા પછી તેઓ સુરક્ષિત રીતે ઓનલાઇન પાછા આવી શકે છે.
કમનસીબે, ક્લાઈન્ટો અને સર્વર્સ બંને પર હાજર સ્ટાન્ડર્ડ લોગ લેવલ સાથે આ હુમલાના દાખલાઓને પૂર્વવત રીતે ઓળખવા મુશ્કેલ અથવા અશક્ય છે. જો કે, હુમલામાં ખાતા સાથે ચેડા કરવાની જરૂર હોવાથી, હોમ સર્વર સંચાલકો અયોગ્ય ofક્સેસના કોઈપણ સંકેતો માટે તેમના પ્રમાણીકરણ લોગની સમીક્ષા કરી શકે છે.
કી એક્સચેન્જ મિકેનિઝમ, જેના અમલીકરણમાં નબળાઈઓ મળી હતી, તે ક્લાયન્ટને જેની પાસે સંદેશ ડિક્રિપ્ટ કરવાની ચાવી નથી તે મોકલનારના ઉપકરણ અથવા અન્ય ઉપકરણોમાંથી કીઓની વિનંતી કરવા માટે પરવાનગી આપે છે.
ઉદાહરણ તરીકે, વપરાશકર્તાના નવા ઉપકરણ પર અથવા વપરાશકર્તા હાલની ચાવીઓ ગુમાવે તે ઘટનામાં જૂના સંદેશાઓના ડિક્રિપ્શનની ખાતરી કરવા માટે આ ક્ષમતા જરૂરી છે. પ્રોટોકોલ સ્પષ્ટીકરણ ડિફ defaultલ્ટ રૂપે કી વિનંતીઓનો જવાબ ન આપવાનું અને તે જ વપરાશકર્તાના ચકાસાયેલ ઉપકરણો પર આપમેળે મોકલવા સૂચવે છે. કમનસીબે, વ્યવહારુ અમલીકરણોમાં, આ જરૂરિયાત પૂરી કરવામાં આવી ન હતી અને કીઓ મોકલવાની વિનંતીઓ યોગ્ય ઉપકરણ ઓળખ વિના પ્રક્રિયા કરવામાં આવી હતી.
એલિમેન્ટ ક્લાયંટના સિક્યુરિટી ઓડિટ દરમિયાન નબળાઈઓ ઓળખવામાં આવી હતી. સુધારાઓ હવે બધા પરેશાન ગ્રાહકો માટે ઉપલબ્ધ છે. વપરાશકર્તાઓને તાત્કાલિક અપડેટ્સ ઇન્સ્ટોલ કરવાની અને અપડેટ ઇન્સ્ટોલ કરતા પહેલા ગ્રાહકોને ડિસ્કનેક્ટ કરવાની સલાહ આપવામાં આવે છે.
સમીક્ષા બહાર પડતા પહેલા નબળાઈનો શોષણ કરવાનો કોઈ પુરાવો નહોતો. સ્ટાન્ડર્ડ ક્લાયન્ટ અને સર્વર લોગનો ઉપયોગ કરીને હુમલાની હકીકત નક્કી કરવી અશક્ય છે, પરંતુ હુમલાને ખાતા સાથે ચેડા કરવાની જરૂર હોવાથી, સંચાલકો તેમના સર્વર પર પ્રમાણીકરણ લોગનો ઉપયોગ કરીને શંકાસ્પદ લોગિનની હાજરીનું વિશ્લેષણ કરી શકે છે, અને વપરાશકર્તાઓ સૂચિનું મૂલ્યાંકન કરી શકે છે. તાજેતરના પુનn જોડાણ અને વિશ્વાસ સ્થિતિમાં ફેરફાર માટે તેમના ખાતા સાથે જોડાયેલા ઉપકરણો.
સ્રોત: https://matrix.org