हाल ही में खबर जारी की गई थी कि कमजोरियों की पहचान की गई थी (सीवीई-२०२०-२७१७०, सीवीई-२०२०-२७१७१) अधिकांश ग्राहक अनुप्रयोगों में विकेन्द्रीकृत संचार मंच के लिए आव्यूह, जो एन्क्रिप्टेड एंड-टू-एंड चैट (E2EE) में संदेशों को स्थानांतरित करने के लिए उपयोग की जाने वाली कुंजियों के बारे में जानकारी प्राप्त करने की अनुमति देता है।
एक हमलावर जिसने उपयोगकर्ताओं में से एक के साथ समझौता किया है चैट से पहले भेजे गए संदेशों को डिक्रिप्ट कर सकते हैं इस उपयोगकर्ता के लिए कमजोर क्लाइंट एप्लिकेशन से। सफल संचालन के लिए संदेश प्राप्तकर्ता के खाते तक पहुंच की आवश्यकता होती है और पहुंच को खाता मापदंडों के रिसाव के माध्यम से और मैट्रिक्स सर्वर को हैक करके प्राप्त किया जा सकता है जिसके माध्यम से उपयोगकर्ता कनेक्ट होता है।
यह उल्लेख है कि एन्क्रिप्टेड चैट रूम के उपयोगकर्ताओं के लिए कमजोरियां सबसे खतरनाक हैं, जिससे हमलावर-नियंत्रित मैट्रिक्स सर्वर जुड़े हुए हैं। ऐसे सर्वर के व्यवस्थापक सर्वर के उपयोगकर्ताओं को असुरक्षित क्लाइंट एप्लिकेशन से चैट करने के लिए भेजे गए संदेशों को रोकने के लिए प्रतिरूपित करने का प्रयास कर सकते हैं।
कमजोरियों चाबियों तक पुन: पहुंच प्रदान करने के लिए तंत्र के कार्यान्वयन में तार्किक त्रुटियों के कारण होते हैं विभिन्न ग्राहकों में प्रस्तावों का पता चला। मैट्रिक्स-आईओएस-एसडीके, मैट्रिक्स-एनआईओ, और लिबोल्म पुस्तकालयों पर आधारित कार्यान्वयन कमजोरियों के प्रति संवेदनशील नहीं हैं।
तदनुसार, समस्याग्रस्त कोड उधार लेने वाले सभी अनुप्रयोगों में कमजोरियां दिखाई देती हैं y वे सीधे मैट्रिक्स और ओल्म / मेगोलम प्रोटोकॉल को प्रभावित नहीं करते हैं।
विशेष रूप से, यह समस्या वेब, डेस्कटॉप और एंड्रॉइड के लिए कोर एलीमेंट मैट्रिक्स (पूर्व में दंगा) क्लाइंट को प्रभावित करती है, साथ ही तीसरे पक्ष के क्लाइंट एप्लिकेशन और लाइब्रेरी, जैसे कि FluffyChat, Nheko, Cinny, और SchildiChat को प्रभावित करती है। समस्या आधिकारिक आईओएस क्लाइंट में नहीं दिखाई देती है, न ही चैटी, हाइड्रोजन, मॉट्रिक्स, पर्पल-मैट्रिक्स और साइफन अनुप्रयोगों में।
प्रभावित क्लाइंट के पैच किए गए संस्करण अब उपलब्ध हैं; इसलिए अनुरोध है कि इसे जल्द से जल्द अपडेट किया जाए और असुविधा के लिए हमें खेद है। यदि आप अपग्रेड नहीं कर सकते हैं, तो कमजोर ग्राहकों को तब तक ऑफ़लाइन रखने पर विचार करें जब तक आप कर सकें। यदि कमजोर ग्राहक ऑफ़लाइन हैं, तो उन्हें चाबियों का खुलासा करने के लिए धोखा नहीं दिया जा सकता है। अपडेट होने के बाद वे सुरक्षित रूप से ऑनलाइन वापस आ सकते हैं।
दुर्भाग्य से, क्लाइंट और सर्वर दोनों पर मौजूद मानक लॉग स्तरों के साथ इस हमले के उदाहरणों को पूर्वव्यापी रूप से पहचानना मुश्किल या असंभव है। हालांकि, चूंकि हमले के लिए खाते से समझौता करने की आवश्यकता होती है, होम सर्वर प्रशासक अनुचित पहुंच के किसी भी संकेत के लिए अपने प्रमाणीकरण लॉग की समीक्षा करना चाह सकते हैं।
मुख्य विनिमय तंत्र, जिसके कार्यान्वयन में कमजोरियां पाई गईं, एक ऐसे क्लाइंट को अनुमति देता है जिसके पास प्रेषक के डिवाइस या अन्य उपकरणों से कुंजियों का अनुरोध करने के लिए संदेश को डिक्रिप्ट करने की कुंजी नहीं है।
उदाहरण के लिए, यह क्षमता उपयोगकर्ता के नए डिवाइस पर पुराने संदेशों के डिक्रिप्शन को सुनिश्चित करने के लिए आवश्यक है या उस स्थिति में जब उपयोगकर्ता मौजूदा कुंजी खो देता है। प्रोटोकॉल विनिर्देश डिफ़ॉल्ट रूप से निर्धारित करता है कि मुख्य अनुरोधों का जवाब न दें और उन्हें स्वचालित रूप से केवल उसी उपयोगकर्ता के सत्यापित उपकरणों पर भेजें। दुर्भाग्य से, व्यावहारिक कार्यान्वयन में, इस आवश्यकता को पूरा नहीं किया गया था और चाबियों को भेजने के अनुरोधों को उचित उपकरण पहचान के बिना संसाधित किया गया था।
एलिमेंट क्लाइंट के सुरक्षा ऑडिट के दौरान कमजोरियों की पहचान की गई थी। फिक्स अब सभी परेशान ग्राहकों के लिए उपलब्ध हैं। उपयोगकर्ताओं को सलाह दी जाती है कि अद्यतन स्थापित करने से पहले तत्काल अद्यतन स्थापित करें और क्लाइंट को डिस्कनेक्ट करें।
समीक्षा जारी होने से पहले भेद्यता के शोषण का कोई सबूत नहीं था. मानक क्लाइंट और सर्वर लॉग का उपयोग करके हमले के तथ्य को निर्धारित करना असंभव है, लेकिन चूंकि हमले के लिए खाते से समझौता करने की आवश्यकता होती है, व्यवस्थापक अपने सर्वर पर प्रमाणीकरण लॉग का उपयोग करके संदिग्ध लॉगिन की उपस्थिति का विश्लेषण कर सकते हैं, और उपयोगकर्ता सूची का मूल्यांकन कर सकते हैं। हाल के पुन: कनेक्शन और विश्वास की स्थिति में बदलाव के लिए उनके खाते से जुड़े उपकरणों की संख्या।
Fuente: https://matrix.org