उन्होंने कई कमजोरियों का पता लगाया जो कई मैट्रिक्स ग्राहकों से समझौता करती हैं

मैट्रिक्स एक ओपन इंस्टेंट मैसेजिंग प्रोटोकॉल है। यह उपयोगकर्ताओं को ऑनलाइन चैट, वॉयस ओवर आईपी और वीडियो चैट के माध्यम से संवाद करने की अनुमति देने के लिए डिज़ाइन किया गया है।

हाल ही में मंच विकासकर्ता विकेन्द्रीकृत संचारs «मैट्रिक्स» ने विभिन्न कमजोरियों के बारे में चेतावनी जारी की जिनका पता चला था और वे आलोचनात्मक हैं मैट्रिक्स-जेएस-एसडीके, मैट्रिक्स-आईओएस-एसडीके, और मैट्रिक्स-एंड्रॉइड-एसडीके 2 पुस्तकालयों में जो सर्वर प्रशासकों को अन्य उपयोगकर्ताओं का प्रतिरूपण करने और एंड-टू-एंड एन्क्रिप्टेड चैट (ई 2 ईई) से संदेश पढ़ने की अनुमति देते हैं।

यह उल्लेख है कि किसी हमले को सफलतापूर्वक पूरा करने के लिए, हमलावरों द्वारा नियंत्रित एक होम सर्वर को एक्सेस किया जाना चाहिए (होम सर्वर: क्लाइंट इतिहास और खातों को संग्रहीत करने के लिए एक सर्वर)। क्लाइंट साइड पर एंड-टू-एंड एन्क्रिप्शन का उपयोग सर्वर व्यवस्थापक को मैसेजिंग में हस्तक्षेप करने की अनुमति नहीं देता है, लेकिन पहचानी गई कमजोरियां इस सुरक्षा को दरकिनार करने की अनुमति देती हैं।

मुद्दे मुख्य तत्व मैट्रिक्स क्लाइंट को प्रभावित करते हैं (पूर्व में दंगा) वेब, डेस्कटॉप, आईओएस और एंड्रॉइड के लिए, साथ ही तीसरे पक्ष के क्लाइंट ऐप जैसे कि सिनी, बीपर, शिल्डीचैट, सर्कुली, और सिनॉड।

पुस्तकालय मैट्रिक्स-रस्ट-एसडीके, हाइड्रोजन-एसडीके, मैट्रिक्स डार्ट एसडीके, मौट्रिक्स-पायथन, मॉट्रिक्स-गो, और मैट्रिक्स-नियो, साथ ही हाइड्रोजन, एलिमेंटएक्स, नेको, फ्लफीचैट, साइफन, टिम्मी में कमजोरियां प्रकट नहीं होती हैं। गोमुक्स, और पैंटालिमोन अनुप्रयोग।

ध्यान दें कि महत्वपूर्ण गंभीरता के मुद्दे मैट्रिक्स-जेएस-एसडीके और डेरिवेटिव में कार्यान्वयन के मुद्दे हैं, और मैट्रिक्स में प्रोटोकॉल मुद्दे नहीं हैं। हमने देखा है कि शोधकर्ताओं के पेपर का नवीनतम संस्करण एलिमेंट को "बेंचमार्क मैट्रिक्स क्लाइंट" के रूप में गलत तरीके से चित्रित करता है और कम गंभीरता प्रोटोकॉल आलोचना के साथ उच्च गंभीरता कार्यान्वयन त्रुटियों को भ्रमित करता है।

तीन परिदृश्य हैं मुख्य हमला:

मैट्रिक्स सर्वर व्यवस्थापक क्रॉस-हस्ताक्षर का उपयोग करके और किसी अन्य उपयोगकर्ता का प्रतिरूपण करके इमोजी-आधारित सत्यापन (एसएएस, लघु प्रमाणीकरण श्रृंखला) को तोड़ सकता है। यह समस्या डिवाइस आईडी हैंडलिंग और क्रॉस-हस्ताक्षर कुंजियों के संयोजन से संबंधित मैट्रिक्स-जेएस-एसडीके कोड में एक भेद्यता (सीवीई-2022-39250) के कारण होती है।
एक हमलावर जो सर्वर को नियंत्रित करता है, एक विश्वसनीय प्रेषक का प्रतिरूपण कर सकता है और अन्य उपयोगकर्ताओं के संदेशों को इंटरसेप्ट करने के लिए एक नकली कुंजी पास कर सकता है। यह समस्या मैट्रिक्स-जेएस-एसडीके (सीवीई-2022-39251), मैट्रिक्स-आईओएस-एसडीके (सीवीई-2022-39255), और मैट्रिक्स-एंड्रॉइड-एसडीके2 (सीवीई-2022-39248) में भेद्यता के कारण है, जिसके कारण क्लाइंट ओल्म के बजाय मेगोलम प्रोटोकॉल का उपयोग करके एन्क्रिप्टेड उपकरणों को संबोधित संदेशों को गलत तरीके से स्वीकार करता है, संदेशों को वास्तविक प्रेषक के बजाय मेगोलम प्रेषक को जिम्मेदार ठहराता है।
पिछले पैराग्राफ में उल्लिखित कमजोरियों का फायदा उठाकर, सर्वर व्यवस्थापक संदेशों को एन्क्रिप्ट करने के लिए उपयोग की जाने वाली कुंजियों को निकालने के लिए उपयोगकर्ता खाते में एक डमी अतिरिक्त कुंजी भी जोड़ सकता है।

भेद्यता की पहचान करने वाले शोधकर्ता उन हमलों का भी प्रदर्शन किया जो किसी तृतीय-पक्ष उपयोगकर्ता को चैट में जोड़ते हैं या किसी तृतीय-पक्ष डिवाइस को उपयोगकर्ता से कनेक्ट करें। हमले इस तथ्य पर आधारित हैं कि चैट में उपयोगकर्ताओं को जोड़ने के लिए उपयोग किए जाने वाले सेवा संदेश चैट निर्माता की चाबियों से जुड़े नहीं हैं और सर्वर व्यवस्थापक द्वारा उत्पन्न किए जा सकते हैं।

मैट्रिक्स प्रोजेक्ट के डेवलपर्स ने इन कमजोरियों को मामूली के रूप में वर्गीकृत किया है, चूंकि इस तरह के जोड़तोड़ मैट्रिक्स में निहित नहीं हैं और केवल प्रोटोकॉल के आधार पर ग्राहकों को प्रभावित करते हैं, लेकिन इसका मतलब यह नहीं है कि वे किसी का ध्यान नहीं जाएंगे: यदि किसी उपयोगकर्ता को प्रतिस्थापित किया जाता है, तो यह चैट उपयोगकर्ताओं की सूची में दिखाया जाएगा, और जब जोड़ा जाएगा एक डिवाइस, एक चेतावनी प्रदर्शित की जाएगी और डिवाइस को असत्यापित के रूप में चिह्नित किया जाएगा (इस मामले में, अनधिकृत डिवाइस को जोड़ने के तुरंत बाद, यह संदेशों को डिक्रिप्ट करने के लिए आवश्यक सार्वजनिक कुंजी प्राप्त करना शुरू कर देगा।

आप देखेंगे कि मैट्रिक्स-रस्ट-एसडीके, हाइड्रोजन-एसडीके, और दूसरी और तीसरी पीढ़ी के एसडीके यहां महत्वपूर्ण मुद्दों के मूल कारण में बग से प्रभावित नहीं थे। यही कारण है कि हम पहली पीढ़ी के एसडीके को मैट्रिक्स-रस्ट-एसडीके के रूप में साफ, ध्यान से लिखित कार्यान्वयन के साथ बदलने के लिए काम कर रहे हैं, जो चल रहे स्वतंत्र सार्वजनिक ऑडिट के साथ पूरा हो गया है।

व्यक्तिगत कार्यान्वयन में बग के कारण भेद्यताएं होती हैं मैट्रिक्स प्रोटोकॉल और वे स्वयं प्रोटोकॉल की समस्या नहीं हैं। वर्तमान में, परियोजना ने समस्याग्रस्त एसडीके और उनके ऊपर निर्मित कुछ क्लाइंट एप्लिकेशन के लिए अपडेट जारी किए हैं।

अंत में हाँ आप इसके बारे में अधिक जानने में रुचि रखते हैं, आप में विवरण देख सकते हैं निम्नलिखित लिंक।

अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

टिप्पणी *

नाम*

इलेक्ट्रॉनिक मेल*

मैं स्वीकारता हूँ गोपनीयता की शर्तें*

डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
वैधता: आपकी सहमति
डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।

मैं समाचार पत्र प्राप्त करना चाहता हूं

अपनी टिप्पणी दर्ज करें उत्तर को रद्द करें

अपनी टिप्पणी दर्ज करें