Уязвимости были обнаружены у большинства клиентов Matrix.

Недавно появилась новость об обнаружении уязвимостей (CVE-2021-40823, CVE-2021-40824) в большинстве клиентских приложений для децентрализованной коммуникационной платформы Матрица, которые позволяют получать информацию о ключах, используемых для передачи сообщений в чатах с сквозным шифрованием (E2EE).

Злоумышленник, скомпрометировавший одного из пользователей. из чата может расшифровать ранее отправленные сообщения этому пользователю из уязвимых клиентских приложений. Для успешной работы требуется доступ к учетной записи получателя сообщения, и доступ может быть получен как через утечку параметров учетной записи, так и путем взлома сервера Matrix, через который подключается пользователь.

Упоминается, что уязвимости наиболее опасны для пользователей зашифрованных чатов, к которым подключены контролируемые злоумышленниками серверы Matrix. Администраторы таких серверов могут попытаться выдать себя за пользователей сервера, чтобы перехватить сообщения, отправляемые в чат из уязвимых клиентских приложений.

Уязвимости вызваны логическими ошибками в реализации механизма предоставления повторного доступа к ключам предложения у разных клиентов обнаружены. Реализации на основе библиотек matrix-ios-sdk, matrix-nio и libolm не подвержены уязвимостям.

Соответственно, уязвимости появляются во всех приложениях, заимствовавших проблемный код y они не влияют напрямую на протоколы Matrix и Olm / Megolm.

В частности, проблема затрагивает основной клиент Element Matrix (ранее Riot) для Интернета, рабочего стола и Android, а также сторонние клиентские приложения и библиотеки, такие как FluffyChat, Nheko, Cinny и SchildiChat. Проблема не проявляется ни в официальном клиенте iOS, ни в приложениях Chatty, Hydrogen, mautrix, purple-matrix и Siphon.

Теперь доступны исправленные версии уязвимых клиентов; Поэтому мы просим его обновить как можно скорее и приносим извинения за неудобства. Если вы не можете выполнить обновление, подумайте о том, чтобы держать уязвимых клиентов в автономном режиме до тех пор, пока вы не сможете. Если уязвимые клиенты отключены от сети, их нельзя обманом заставить раскрыть ключи. Они могут безопасно вернуться в онлайн после обновления.

К сожалению, сложно или невозможно задним числом идентифицировать экземпляры этой атаки со стандартными уровнями журналов, присутствующими как на клиентах, так и на серверах. Однако, поскольку атака требует компрометации учетной записи, администраторы домашнего сервера могут пожелать проверить свои журналы аутентификации на предмет любых признаков несоответствующего доступа.

Механизм обмена ключами, в реализации которого были обнаружены уязвимости, позволяет клиенту, не имеющему ключей, расшифровать сообщение для запроса ключей с устройства отправителя или других устройств.

Например, эта возможность необходима для обеспечения дешифрования старых сообщений на новом устройстве пользователя или в случае, если пользователь потеряет существующие ключи. Спецификация протокола по умолчанию предписывает не отвечать на ключевые запросы и автоматически отправлять их только на проверенные устройства того же пользователя. К сожалению, на практике это требование не соблюдалось, и запросы на отправку ключей обрабатывались без надлежащей идентификации устройства.

Уязвимости были обнаружены в ходе аудита безопасности клиента Element. Исправления теперь доступны всем проблемным клиентам. Пользователям рекомендуется срочно установить обновления и отключить клиентов перед установкой обновления.

До публикации обзора не было доказательств использования уязвимости.. Невозможно определить факт атаки с использованием стандартных журналов клиента и сервера, но поскольку атака требует компрометации учетной записи, администраторы могут анализировать наличие подозрительных входов в систему, используя журналы аутентификации на своих серверах, а Пользователи могут оценивать список устройств, связанных с их учетной записью, для недавних переподключений и изменений статуса доверия.

источник: https://matrix.org


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.