ډیری زیان منونکي کشف شوي چې د میټریکس ډیری پیرودونکي موافقت کوي

د میټرکس پروتوکول

میټریکس یو خلاص فوري پیغام رسولو پروتوکول دی. دا د دې لپاره ډیزاین شوی چې کاروونکو ته اجازه ورکړي چې د آنلاین چیٹ، د IP په اړه غږ، او ویډیو چیٹ له لارې اړیکه ونیسي.

په دې وروستیو کې پلیټ فارم جوړونکي غیر متمرکز ارتباطاتs «Matrix» د مختلفو زیانونو په اړه خبرداری خپور کړ چې کشف شول او دوی انتقادي دي په matrix-js-sdk، matrix-ios-sdk، او matrix-android-sdk2 کتابتونونو کې چې د سرور مدیرانو ته اجازه ورکوي چې د نورو کاروونکو نقالی کړي او له پای څخه تر پایه کوډ شوي چیټونو (E2EE) پیغامونه ولولي.

د د برید په بریالیتوب سره بشپړولو لپاره، د برید کونکي لخوا کنټرول شوي کور سرور ته باید لاسرسی ومومي (کور سرور: د پیرودونکي تاریخ او حسابونو ذخیره کولو لپاره سرور). د پیرودونکي اړخ کې د پای څخه تر پایه کوډ کولو کارول د سرور مدیر ته اجازه نه ورکوي چې په پیغام رسولو کې مداخله وکړي، مګر پیژندل شوي زیانمننې دا محافظت ته اجازه ورکوي چې مخنیوی وکړي.

مسلې د اصلي عنصر میټریکس پیرودونکي اغیزه کوي (پخوانی Riot) د ویب، ډیسټاپ، iOS، او Android لپاره، په بیله بیا د دریمې ډلې پیرودونکي ایپسونه لکه Cinny، Beeper، SchildiChat، Circuli، او Synod.im.

زیان منونکي په کتابتونونو کې نه ښکاري matrix-rust-sdk, hydrogen-sdk, Matrix Dart SDK, mautrix-python, mautrix-go، او matrix-nio، او همدارنګه هایدروجن، ElementX، Nheko، FluffyChat، Siphon، Timmy، Gomuks، او Pantalaimon غوښتنلیکونه.

په یاد ولرئ چې د جدي شدت مسلې په میټریکس-js-sdk او مشتقاتو کې د پلي کولو مسلې دي، او په میټریکس کې د پروتوکول مسلې ندي. د څیړونکو د مقالې وروستۍ نسخه چې موږ لیدلي په غلطه توګه عنصر د "بنچمارک میټریکس پیرودونکي" په توګه انځوروي او د ټیټ شدت پروتوکول انتقاد سره د لوړ شدت پلي کولو غلطۍ ګډوډوي.

درې سناریوګانې شتون لري اصلي برید:

  1. د میټریکس سرور مدیر کولی شي د کراس لاسلیکونو په کارولو او د بل کارونکي نقض کولو له لارې د ایموجي پراساس تایید (SAS، لنډ تصدیق زنځیرونه) مات کړي. دا مسله د میټریکس-js-sdk کوډ کې د زیان مننې (CVE-2022-39250) له امله رامینځته شوې چې د آلې ID اداره کولو او کراس لاسلیک کولو کیلي ترکیب پورې اړه لري.
  2. یو برید کونکی چې سرور کنټرولوي کولی شي د باور وړ لیږونکي تقلید وکړي او د نورو کاروونکو څخه د پیغامونو مداخلې لپاره جعلي کیلي انتقال کړي. مسله په matrix-js-sdk (CVE-2022-39251)، matrix-ios-sdk (CVE-2022-39255)، او matrix-android-sdk2 (CVE-2022-39248) کې د زیانمنتیا له امله ده پیرودونکي په غلط ډول د Olm پر ځای د میګولم پروتوکول په کارولو سره کوډ شوي وسیلو ته لیږل شوي پیغامونه مني ، پیغامونه د اصلي لیږونکي پرځای میګولم لیږونکي ته منسوبوي.
  3. په تیرو پراګراف کې د ذکر شوي زیانونو څخه په ګټې اخیستنې سره، د سرور مدیر کولی شي د کارونکي حساب ته یو ډمي اضافي کیلي هم اضافه کړي ترڅو د پیغامونو کوډ کولو لپاره کارول شوي کیلي استخراج کړي.

هغه څیړونکي چې زیانمنونکي یې پیژندلي همدارنګه بریدونه وښودل چې په چیٹ کې د دریمې ډلې کاروونکي اضافه کوي یا د دریمې ډلې وسیله کارونکي سره وصل کړئ. بریدونه د دې حقیقت پراساس دي چې د خدماتو پیغامونه چې په چیٹ کې د کاروونکو اضافه کولو لپاره کارول کیږي د چیٹ جوړونکي کیلي سره تړاو نلري او د سرور مدیر لخوا رامینځته کیدی شي.

د Matrix پروژې پراختیا کونکو دا زیانمننې د کوچني په توګه طبقه بندي کړې، ځکه چې دا ډول لاسوهنې په میټریکس کې ارثي ندي او یوازې د پروتوکول پراساس پیرودونکي اغیزه کوي ، مګر دا پدې معنی ندي چې دوی به له پامه ونه غورځول شي: که چیرې یو کارن ځای په ځای شي ، نو دا به د چیټ کاروونکو لیست کې ښودل شي ، او کله چې اضافه شي یوه وسیله، یو خبرداری به ښکاره شي او وسیله به د غیر تصدیق شوي په توګه په نښه شي (په دې حالت کې، د غیر رسمي وسیله اضافه کولو وروسته، دا به د پیغامونو د کوډ کولو لپاره اړین عامه کیلي ترلاسه کول پیل کړي.

تاسو به وګورئ چې د میټریکس-رسټ-sdk، هایدروجن-sdk، او نور XNUMXnd او XNUMXrd نسل SDKs دلته د جدي مسلو اصلي لامل کې د بګ لخوا اغیزمن شوي ندي. همدا علت دی چې موږ د لومړي نسل SDKs ځای په ځای کولو لپاره کار کوو چې د میټریکس-rust-sdk په شکل کې د Rust د پاک ، احتیاط سره لیکل شوي پلي کولو سره ، د یوې روانې خپلواکې عامه پلټنې سره بشپړ شي.

زیانمنتیاوې په انفرادي پلي کولو کې د بګونو له امله رامینځته کیږي د میټریکس پروتوکول او دوی پخپله د پروتوکول ستونزې ندي. اوس مهال، پروژې د ستونزمن SDKs او ځینې پیرودونکي غوښتنلیکونو لپاره تازه معلومات خپاره کړي چې د دوی په سر کې جوړ شوي.

په نهایت کې هو تاسو علاقه لرئ چې د دې په اړه نور پوه شئ، تاسو کولی شئ توضیحات په لاندې لینک


د مقالې مینځپانګه زموږ د اصولو سره سمون لري ایډیټیک اخلاق. د غلطۍ راپور ورکولو لپاره کلیک وکړئ دلته.

لومړی د تبصره کولو لپاره وئ

خپله نظر پرېږدئ

ستاسو د بریښنا لیک پته به خپره نه شي.

*

*

  1. د معلوماتو لپاره مسؤل: میګیوانجل ګاتین
  2. د معلوماتو هدف: د سپیم کنټرول ، د نظر مدیریت.
  3. قانونیت: ستاسو رضایت
  4. د معلوماتو راټولول: معلومات به د قانوني مکلفیت پرته دریمې ډلې ته نه لیږدول کیږي.
  5. د معلوماتو ذخیره: ډیټابیس د Occentus شبکې (EU) لخوا کوربه شوی
  6. حقونه: په هر وخت کې تاسو کولی شئ خپل معلومات محدود ، له سره تنظیم او حذف کړئ.