ಮ್ಯಾಟ್ರಿಕ್ಸ್ ತೆರೆದ ತ್ವರಿತ ಸಂದೇಶ ಪ್ರೋಟೋಕಾಲ್ ಆಗಿದೆ. ಆನ್ಲೈನ್ ಚಾಟ್, ವಾಯ್ಸ್ ಓವರ್ ಐಪಿ ಮತ್ತು ವೀಡಿಯೊ ಚಾಟ್ ಮೂಲಕ ಬಳಕೆದಾರರಿಗೆ ಸಂವಹನ ನಡೆಸಲು ಇದನ್ನು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ.
ಇತ್ತೀಚೆಗೆ ದಿ ವೇದಿಕೆ ಅಭಿವರ್ಧಕರು ವಿಕೇಂದ್ರೀಕೃತ ಸಂವಹನಗಳುರು «ಮ್ಯಾಟ್ರಿಕ್ಸ್» ವಿವಿಧ ದುರ್ಬಲತೆಗಳ ಬಗ್ಗೆ ಎಚ್ಚರಿಕೆಯನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದೆ ಎಂದು ಪತ್ತೆಹಚ್ಚಲಾಗಿದೆ ಮತ್ತು ಅವರು ನಿರ್ಣಾಯಕರಾಗಿದ್ದಾರೆ matrix-js-sdk, matrix-ios-sdk, ಮತ್ತು matrix-android-sdk2 ಲೈಬ್ರರಿಗಳಲ್ಲಿ ಸರ್ವರ್ ನಿರ್ವಾಹಕರು ಇತರ ಬಳಕೆದಾರರನ್ನು ಸೋಗು ಹಾಕಲು ಮತ್ತು ಎಂಡ್-ಟು-ಎಂಡ್ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಚಾಟ್ಗಳಿಂದ (E2EE) ಸಂದೇಶಗಳನ್ನು ಓದಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.
ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ ದಾಳಿಯನ್ನು ಯಶಸ್ವಿಯಾಗಿ ಪೂರ್ಣಗೊಳಿಸಲು, ಆಕ್ರಮಣಕಾರರಿಂದ ನಿಯಂತ್ರಿಸಲ್ಪಡುವ ಹೋಮ್ ಸರ್ವರ್ ಅನ್ನು ಪ್ರವೇಶಿಸಬೇಕು (ಹೋಮ್ ಸರ್ವರ್: ಕ್ಲೈಂಟ್ ಇತಿಹಾಸ ಮತ್ತು ಖಾತೆಗಳನ್ನು ಸಂಗ್ರಹಿಸಲು ಸರ್ವರ್). ಕ್ಲೈಂಟ್ ಬದಿಯಲ್ಲಿ ಎಂಡ್-ಟು-ಎಂಡ್ ಎನ್ಕ್ರಿಪ್ಶನ್ ಬಳಕೆಯು ಸರ್ವರ್ ನಿರ್ವಾಹಕರು ಸಂದೇಶ ಕಳುಹಿಸುವಲ್ಲಿ ಮಧ್ಯಪ್ರವೇಶಿಸಲು ಅನುಮತಿಸುವುದಿಲ್ಲ, ಆದರೆ ಗುರುತಿಸಲಾದ ದುರ್ಬಲತೆಗಳು ಈ ರಕ್ಷಣೆಯನ್ನು ತಪ್ಪಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.
ಸಮಸ್ಯೆಗಳು ಮುಖ್ಯ ಎಲಿಮೆಂಟ್ ಮ್ಯಾಟ್ರಿಕ್ಸ್ ಕ್ಲೈಂಟ್ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತವೆ (ಹಿಂದೆ ರಾಯಿಟ್) ವೆಬ್, ಡೆಸ್ಕ್ಟಾಪ್, iOS ಮತ್ತು Android, ಹಾಗೆಯೇ Cinny, Beeper, SchildiChat, Circuli ಮತ್ತು Synod.im ನಂತಹ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಕ್ಲೈಂಟ್ ಅಪ್ಲಿಕೇಶನ್ಗಳು.
ಮ್ಯಾಟ್ರಿಕ್ಸ್-ರಸ್ಟ್-ಎಸ್ಡಿಕೆ, ಹೈಡ್ರೋಜನ್-ಎಸ್ಡಿಕೆ, ಮ್ಯಾಟ್ರಿಕ್ಸ್ ಡಾರ್ಟ್ ಎಸ್ಡಿಕೆ, ಮಾಟ್ರಿಕ್ಸ್-ಪೈಥಾನ್, ಮೌಟ್ರಿಕ್ಸ್-ಗೋ, ಮತ್ತು ಮ್ಯಾಟ್ರಿಕ್ಸ್-ನಿಯೊ, ಹಾಗೆಯೇ ಹೈಡ್ರೋಜನ್, ಎಲಿಮೆಂಟ್ಎಕ್ಸ್, ನೆಕೊ, ಫ್ಲಫಿಚಾಟ್, ಸಿಫೊನ್, ಟಿಮ್ಮಿ, ಲೈಬ್ರರಿಗಳಲ್ಲಿ ದೋಷಗಳು ಕಂಡುಬರುವುದಿಲ್ಲ. ಗೋಮುಕ್ಸ್, ಮತ್ತು ಪ್ಯಾಂಟಲೈಮನ್ ಅಪ್ಲಿಕೇಶನ್ಗಳು.
ನಿರ್ಣಾಯಕ ತೀವ್ರತೆಯ ಸಮಸ್ಯೆಗಳು ಮ್ಯಾಟ್ರಿಕ್ಸ್-js-sdk ಮತ್ತು ಉತ್ಪನ್ನಗಳಲ್ಲಿನ ಅನುಷ್ಠಾನ ಸಮಸ್ಯೆಗಳಾಗಿವೆ ಮತ್ತು ಮ್ಯಾಟ್ರಿಕ್ಸ್ನಲ್ಲಿ ಪ್ರೋಟೋಕಾಲ್ ಸಮಸ್ಯೆಗಳಲ್ಲ. ನಾವು ನೋಡಿದ ಸಂಶೋಧಕರ ಪತ್ರಿಕೆಯ ಇತ್ತೀಚಿನ ಆವೃತ್ತಿಯು ಎಲಿಮೆಂಟ್ ಅನ್ನು "ಬೆಂಚ್ಮಾರ್ಕ್ ಮ್ಯಾಟ್ರಿಕ್ಸ್ ಕ್ಲೈಂಟ್" ಎಂದು ತಪ್ಪಾಗಿ ಚಿತ್ರಿಸುತ್ತದೆ ಮತ್ತು ಕಡಿಮೆ ತೀವ್ರತೆಯ ಪ್ರೋಟೋಕಾಲ್ ಟೀಕೆಗಳೊಂದಿಗೆ ಹೆಚ್ಚಿನ ತೀವ್ರತೆಯ ಅನುಷ್ಠಾನ ದೋಷಗಳನ್ನು ಗೊಂದಲಗೊಳಿಸುತ್ತದೆ.
ಮೂರು ಸನ್ನಿವೇಶಗಳಿವೆ ಮುಖ್ಯ ದಾಳಿ:
- ಮ್ಯಾಟ್ರಿಕ್ಸ್ ಸರ್ವರ್ ನಿರ್ವಾಹಕರು ಕ್ರಾಸ್-ಸಹಿಗಳನ್ನು ಬಳಸುವ ಮೂಲಕ ಮತ್ತು ಇನ್ನೊಬ್ಬ ಬಳಕೆದಾರರನ್ನು ಸೋಗು ಹಾಕುವ ಮೂಲಕ ಎಮೋಜಿ-ಆಧಾರಿತ ಪರಿಶೀಲನೆಯನ್ನು (SAS, ಶಾರ್ಟ್ ಅಥೆಂಟಿಕೇಶನ್ ಚೈನ್ಸ್) ಮುರಿಯಬಹುದು. ಸಾಧನ ID ನಿರ್ವಹಣೆ ಮತ್ತು ಕ್ರಾಸ್-ಸಹಿ ಕೀಗಳ ಸಂಯೋಜನೆಗೆ ಸಂಬಂಧಿಸಿದ ಮ್ಯಾಟ್ರಿಕ್ಸ್-js-sdk ಕೋಡ್ನಲ್ಲಿನ ದುರ್ಬಲತೆ (CVE-2022-39250) ನಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ.
- ಸರ್ವರ್ ಅನ್ನು ನಿಯಂತ್ರಿಸುವ ಆಕ್ರಮಣಕಾರರು ವಿಶ್ವಾಸಾರ್ಹ ಕಳುಹಿಸುವವರಂತೆ ಸೋಗು ಹಾಕಬಹುದು ಮತ್ತು ಇತರ ಬಳಕೆದಾರರ ಸಂದೇಶಗಳನ್ನು ಪ್ರತಿಬಂಧಿಸಲು ನಕಲಿ ಕೀಲಿಯನ್ನು ರವಾನಿಸಬಹುದು. ಸಮಸ್ಯೆಯು ಮ್ಯಾಟ್ರಿಕ್ಸ್-js-sdk (CVE-2022-39251), matrix-ios-sdk (CVE-2022-39255), ಮತ್ತು matrix-android-sdk2 (CVE-2022-39248) ನಲ್ಲಿನ ದುರ್ಬಲತೆಯಿಂದಾಗಿ ಉಂಟಾಗಿದೆ. ಓಲ್ಮ್ ಬದಲಿಗೆ ಮೆಗಾಲ್ಮ್ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಸಾಧನಗಳಿಗೆ ಉದ್ದೇಶಿಸಲಾದ ಸಂದೇಶಗಳನ್ನು ಕ್ಲೈಂಟ್ ತಪ್ಪಾಗಿ ಸ್ವೀಕರಿಸುತ್ತದೆ, ಸಂದೇಶಗಳನ್ನು ನಿಜವಾದ ಕಳುಹಿಸುವವರ ಬದಲಿಗೆ ಮೆಗಾಲ್ಮ್ ಕಳುಹಿಸುವವರಿಗೆ ಆರೋಪಿಸುತ್ತದೆ.
- ಹಿಂದಿನ ಪ್ಯಾರಾಗ್ರಾಫ್ನಲ್ಲಿ ಉಲ್ಲೇಖಿಸಲಾದ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಮೂಲಕ, ಸಂದೇಶಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಬಳಸುವ ಕೀಗಳನ್ನು ಹೊರತೆಗೆಯಲು ಸರ್ವರ್ ನಿರ್ವಾಹಕರು ಬಳಕೆದಾರ ಖಾತೆಗೆ ನಕಲಿ ಬಿಡಿ ಕೀಲಿಯನ್ನು ಕೂಡ ಸೇರಿಸಬಹುದು.
ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸಿದ ಸಂಶೋಧಕರು ಚಾಟ್ಗೆ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಬಳಕೆದಾರರನ್ನು ಸೇರಿಸುವ ದಾಳಿಯನ್ನು ಸಹ ಪ್ರದರ್ಶಿಸಿದರು ಅಥವಾ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಸಾಧನವನ್ನು ಬಳಕೆದಾರರಿಗೆ ಸಂಪರ್ಕಪಡಿಸಿ. ಚಾಟ್ಗೆ ಬಳಕೆದಾರರನ್ನು ಸೇರಿಸಲು ಬಳಸುವ ಸೇವಾ ಸಂದೇಶಗಳು ಚಾಟ್ ರಚನೆಕಾರರ ಕೀಗಳಿಗೆ ಲಿಂಕ್ ಮಾಡಿಲ್ಲ ಮತ್ತು ಸರ್ವರ್ ನಿರ್ವಾಹಕರಿಂದ ರಚಿಸಬಹುದು ಎಂಬ ಅಂಶವನ್ನು ಆಧರಿಸಿ ದಾಳಿಗಳು ನಡೆಯುತ್ತವೆ.
ಮ್ಯಾಟ್ರಿಕ್ಸ್ ಪ್ರಾಜೆಕ್ಟ್ನ ಡೆವಲಪರ್ಗಳು ಈ ದುರ್ಬಲತೆಗಳನ್ನು ಚಿಕ್ಕದಾಗಿ ವರ್ಗೀಕರಿಸಿದ್ದಾರೆ, ಇಂತಹ ಮ್ಯಾನಿಪ್ಯುಲೇಷನ್ಗಳು ಮ್ಯಾಟ್ರಿಕ್ಸ್ಗೆ ಅಂತರ್ಗತವಾಗಿಲ್ಲ ಮತ್ತು ಪ್ರೋಟೋಕಾಲ್ ಆಧಾರದ ಮೇಲೆ ಕ್ಲೈಂಟ್ಗಳ ಮೇಲೆ ಮಾತ್ರ ಪರಿಣಾಮ ಬೀರುತ್ತವೆ, ಆದರೆ ಇದರರ್ಥ ಅವರು ಗಮನಕ್ಕೆ ಬರುವುದಿಲ್ಲ ಎಂದು ಅರ್ಥವಲ್ಲ: ಬಳಕೆದಾರರನ್ನು ಬದಲಾಯಿಸಿದರೆ, ಅದನ್ನು ಚಾಟ್ ಬಳಕೆದಾರರ ಪಟ್ಟಿಯಲ್ಲಿ ತೋರಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಸೇರಿಸಿದಾಗ ಒಂದು ಸಾಧನ, ಎಚ್ಚರಿಕೆಯನ್ನು ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಸಾಧನವನ್ನು ಪರಿಶೀಲಿಸಲಾಗಿಲ್ಲ ಎಂದು ಗುರುತಿಸಲಾಗುತ್ತದೆ (ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಅನಧಿಕೃತ ಸಾಧನವನ್ನು ಸೇರಿಸಿದ ತಕ್ಷಣ, ಸಂದೇಶಗಳನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಅಗತ್ಯವಿರುವ ಸಾರ್ವಜನಿಕ ಕೀಗಳನ್ನು ಸ್ವೀಕರಿಸಲು ಪ್ರಾರಂಭಿಸುತ್ತದೆ.
ಮ್ಯಾಟ್ರಿಕ್ಸ್-ರಸ್ಟ್-ಎಸ್ಡಿಕೆ, ಹೈಡ್ರೋಜನ್-ಎಸ್ಡಿಕೆ ಮತ್ತು ಇತರ XNUMXನೇ ಮತ್ತು XNUMXನೇ ತಲೆಮಾರಿನ ಎಸ್ಡಿಕೆಗಳು ಇಲ್ಲಿ ನಿರ್ಣಾಯಕ ಸಮಸ್ಯೆಗಳ ಮೂಲ ಕಾರಣದ ದೋಷಗಳಿಂದ ಪ್ರಭಾವಿತವಾಗಿಲ್ಲ ಎಂಬುದನ್ನು ನೀವು ಗಮನಿಸಬಹುದು. ಇದಕ್ಕಾಗಿಯೇ ನಾವು ಮೊದಲ ತಲೆಮಾರಿನ SDK ಗಳನ್ನು ಮ್ಯಾಟ್ರಿಕ್ಸ್-ರಸ್ಟ್-sdk ರೂಪದಲ್ಲಿ ಸ್ವಚ್ಛ, ಎಚ್ಚರಿಕೆಯಿಂದ ಬರೆಯಲಾದ ಅನುಷ್ಠಾನದೊಂದಿಗೆ ಬದಲಾಯಿಸಲು ಕೆಲಸ ಮಾಡುತ್ತಿದ್ದೇವೆ, ಇದು ನಡೆಯುತ್ತಿರುವ ಸ್ವತಂತ್ರ ಸಾರ್ವಜನಿಕ ಲೆಕ್ಕಪರಿಶೋಧನೆಯೊಂದಿಗೆ ಪೂರ್ಣಗೊಂಡಿದೆ.
ವೈಯಕ್ತಿಕ ಅಳವಡಿಕೆಗಳಲ್ಲಿನ ದೋಷಗಳಿಂದ ದುರ್ಬಲತೆಗಳು ಉಂಟಾಗುತ್ತವೆ ಮ್ಯಾಟ್ರಿಕ್ಸ್ ಪ್ರೋಟೋಕಾಲ್ ಮತ್ತು ಅವು ಪ್ರೋಟೋಕಾಲ್ನ ಸಮಸ್ಯೆಗಳಲ್ಲ. ಪ್ರಸ್ತುತ, ಯೋಜನೆಯು ಸಮಸ್ಯಾತ್ಮಕ SDK ಗಳು ಮತ್ತು ಅವುಗಳ ಮೇಲೆ ನಿರ್ಮಿಸಲಾದ ಕೆಲವು ಕ್ಲೈಂಟ್ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗೆ ನವೀಕರಣಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದೆ.
ಅಂತಿಮವಾಗಿ ಹೌದು ನೀವು ಅದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದೀರಿ, ನೀವು ವಿವರಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್.