மேட்ரிக்ஸ் என்பது ஒரு திறந்த உடனடி செய்தியிடல் நெறிமுறை. ஆன்லைன் அரட்டை, குரல் ஓவர் ஐபி மற்றும் வீடியோ அரட்டை மூலம் பயனர்கள் தொடர்பு கொள்ள அனுமதிக்கும் வகையில் இது வடிவமைக்கப்பட்டுள்ளது.
சமீபத்தில் தி மேடை டெவலப்பர்கள் பரவலாக்கப்பட்ட தகவல் தொடர்புகள் «மேட்ரிக்ஸ்» பல்வேறு பாதிப்புகள் பற்றிய எச்சரிக்கையை வெளியிட்டது என்று கண்டறியப்பட்டது மற்றும் அவை விமர்சனமானவை matrix-js-sdk, matrix-ios-sdk, மற்றும் matrix-android-sdk2 லைப்ரரிகளில் சர்வர் நிர்வாகிகள் மற்ற பயனர்களைப் போல் ஆள்மாறாட்டம் செய்யவும் மற்றும் எண்ட்-டு-எண்ட் என்க்ரிப்ட் செய்யப்பட்ட அரட்டைகளில் (E2EE) இருந்து செய்திகளைப் படிக்கவும் அனுமதிக்கிறது.
என்று குறிப்பிடப்பட்டுள்ளது தாக்குதலை வெற்றிகரமாக முடிக்க, தாக்குபவர்களால் கட்டுப்படுத்தப்படும் ஹோம் சர்வரை அணுக வேண்டும் (முகப்பு சேவையகம்: கிளையன்ட் வரலாறு மற்றும் கணக்குகளை சேமிக்கும் சேவையகம்). கிளையன்ட் பக்கத்தில் எண்ட்-டு-எண்ட் என்க்ரிப்ஷனைப் பயன்படுத்துவது, சேவையக நிர்வாகியை செய்தியிடலில் தலையிட அனுமதிக்காது, ஆனால் அடையாளம் காணப்பட்ட பாதிப்புகள் இந்தப் பாதுகாப்பைத் தவிர்க்க அனுமதிக்கின்றன.
சிக்கல்கள் முக்கிய உறுப்பு மேட்ரிக்ஸ் கிளையண்டைப் பாதிக்கின்றன இணையம், டெஸ்க்டாப், iOS மற்றும் ஆண்ட்ராய்டுக்கான (முன்னர் Riot), அத்துடன் Cinny, Beeper, SchildiChat, Circuli மற்றும் Synod.im போன்ற மூன்றாம் தரப்பு கிளையன்ட் பயன்பாடுகள்.
matrix-rust-sdk, hydrogen-sdk, Matrix Dart SDK, mautrix-python, mautrix-go, மற்றும் matrix-nio, அத்துடன் Hydrogen, ElementX, Nheko, FluffyChat, Siphon, Timmy, ஆகிய நூலகங்களில் பாதிப்புகள் தோன்றாது. கோமுக்ஸ் மற்றும் பாண்டலைமோன் பயன்பாடுகள்.
முக்கியமான தீவிரத்தன்மை சிக்கல்கள் என்பது matrix-js-sdk மற்றும் டெரிவேடிவ்களில் செயல்படுத்தும் சிக்கல்கள் மற்றும் மேட்ரிக்ஸில் நெறிமுறை சிக்கல்கள் அல்ல. நாம் பார்த்த ஆராய்ச்சியாளர்களின் ஆய்வறிக்கையின் சமீபத்திய பதிப்பு, உறுப்புகளை "பெஞ்ச்மார்க் மேட்ரிக்ஸ் கிளையன்ட்" என்று தவறாக சித்தரிக்கிறது மற்றும் குறைந்த தீவிரத்தன்மை கொண்ட நெறிமுறை விமர்சனத்துடன் அதிக தீவிரத்தன்மை செயல்படுத்தல் பிழைகளை குழப்புகிறது.
மூன்று காட்சிகள் உள்ளன முக்கிய தாக்குதல்:
- மேட்ரிக்ஸ் சர்வர் நிர்வாகி குறுக்கு கையொப்பங்களைப் பயன்படுத்தி மற்றொரு பயனரைப் போல ஆள்மாறாட்டம் செய்வதன் மூலம் ஈமோஜி அடிப்படையிலான சரிபார்ப்பை (SAS, குறுகிய அங்கீகாரச் சங்கிலிகள்) உடைக்க முடியும். சாதன ஐடி கையாளுதல் மற்றும் குறுக்கு-கையொப்பமிடும் விசைகளின் கலவையுடன் தொடர்புடைய matrix-js-sdk குறியீட்டில் உள்ள பாதிப்பால் (CVE-2022-39250) சிக்கல் ஏற்படுகிறது.
- சர்வரைக் கட்டுப்படுத்தும் தாக்குபவர், நம்பகமான அனுப்புநராக ஆள்மாறாட்டம் செய்யலாம் மற்றும் பிற பயனர்களிடமிருந்து வரும் செய்திகளை இடைமறிக்க போலி விசையை அனுப்பலாம். matrix-js-sdk (CVE-2022-39251), matrix-ios-sdk (CVE-2022-39255), மற்றும் matrix-android-sdk2 (CVE-2022-39248) ஆகியவற்றில் உள்ள பாதிப்பு காரணமாக இந்தச் சிக்கல் ஏற்பட்டது. Olm க்குப் பதிலாக Megolm நெறிமுறையைப் பயன்படுத்தி மறைகுறியாக்கப்பட்ட சாதனங்களுக்கு அனுப்பப்பட்ட செய்திகளை கிளையன்ட் தவறாக ஏற்றுக்கொள்கிறார், உண்மையான அனுப்புநருக்குப் பதிலாக Megolm அனுப்புநருக்கு செய்திகளைக் குறிப்பிடுகிறார்.
- முந்தைய பத்தியில் குறிப்பிடப்பட்டுள்ள பாதிப்புகளைப் பயன்படுத்துவதன் மூலம், செய்திகளை குறியாக்கப் பயன்படுத்தப்படும் விசைகளைப் பிரித்தெடுக்க, சர்வர் நிர்வாகி ஒரு போலி உதிரி விசையை பயனர் கணக்கில் சேர்க்கலாம்.
பாதிப்பை கண்டறிந்த ஆராய்ச்சியாளர்கள் மூன்றாம் தரப்பு பயனரை அரட்டையில் சேர்க்கும் தாக்குதல்களையும் நிரூபித்தது அல்லது பயனருடன் மூன்றாம் தரப்பு சாதனத்தை இணைக்கவும். அரட்டையில் பயனர்களைச் சேர்ப்பதற்குப் பயன்படுத்தப்படும் சேவைச் செய்திகள் அரட்டை உருவாக்குநரின் விசைகளுடன் இணைக்கப்படவில்லை மற்றும் சேவையக நிர்வாகியால் உருவாக்கப்படலாம் என்ற உண்மையின் அடிப்படையில் தாக்குதல்கள் உள்ளன.
மேட்ரிக்ஸ் திட்டத்தின் டெவலப்பர்கள் இந்த பாதிப்புகளை சிறியதாக வகைப்படுத்தியுள்ளனர், இது போன்ற கையாளுதல்கள் மேட்ரிக்ஸில் இயல்பாக இல்லை மற்றும் நெறிமுறையின் அடிப்படையில் வாடிக்கையாளர்களை மட்டுமே பாதிக்கும், ஆனால் இது கவனிக்கப்படாமல் போகாது என்று அர்த்தமல்ல: ஒரு பயனர் மாற்றப்பட்டால், அது அரட்டை பயனர்களின் பட்டியலில் காண்பிக்கப்படும், மேலும் சேர்க்கப்படும் போது ஒரு சாதனம், ஒரு எச்சரிக்கை காட்டப்படும் மற்றும் சாதனம் சரிபார்க்கப்படாததாகக் குறிக்கப்படும் (இந்த வழக்கில், அங்கீகரிக்கப்படாத சாதனத்தைச் சேர்த்த உடனேயே, செய்திகளை மறைகுறியாக்கத் தேவையான பொது விசைகளைப் பெறத் தொடங்கும்.
matrix-rust-sdk, hydrogen-sdk மற்றும் பிற XNUMXவது மற்றும் XNUMXவது தலைமுறை SDKகள் இங்குள்ள முக்கியமான சிக்கல்களின் மூல காரணமான பிழைகளால் பாதிக்கப்படவில்லை என்பதை நீங்கள் கவனிப்பீர்கள். இதனால்தான் துல்லியமாக, முதல் தலைமுறை SDKகளை மேட்ரிக்ஸ்-ரஸ்ட்-எஸ்.டி.கே வடிவத்தில் சுத்தமான, கவனமாக எழுதப்பட்ட செயலாக்கத்துடன் மாற்றுவதற்கு நாங்கள் பணியாற்றி வருகிறோம்.
தனிப்பட்ட செயலாக்கங்களில் உள்ள பிழைகளால் பாதிப்புகள் ஏற்படுகின்றன மேட்ரிக்ஸ் நெறிமுறை மற்றும் அவை நெறிமுறையின் சிக்கல்கள் அல்ல. தற்போது, பிரச்சனைக்குரிய SDKகள் மற்றும் அவற்றின் மேல் கட்டமைக்கப்பட்ட சில கிளையன்ட் பயன்பாடுகளுக்கான புதுப்பிப்புகளை திட்டம் வெளியிட்டுள்ளது.
இறுதியாக ஆம் நீங்கள் அதைப் பற்றி மேலும் தெரிந்து கொள்ள ஆர்வமாக உள்ளீர்கள், நீங்கள் விவரங்களை சரிபார்க்கலாம் பின்வரும் இணைப்பு.