అనేక మ్యాట్రిక్స్ కస్టమర్‌లను రాజీ చేసే అనేక దుర్బలత్వాలను గుర్తించింది

మాతృక ప్రోటోకాల్

మ్యాట్రిక్స్ అనేది ఓపెన్ ఇన్‌స్టంట్ మెసేజింగ్ ప్రోటోకాల్. ఆన్‌లైన్ చాట్, వాయిస్ ఓవర్ IP మరియు వీడియో చాట్ ద్వారా వినియోగదారులను కమ్యూనికేట్ చేయడానికి ఇది రూపొందించబడింది.

ఇటీవల ది వేదిక డెవలపర్లు వికేంద్రీకృత సమాచార మార్పిడిs «మ్యాట్రిక్స్» వివిధ దుర్బలత్వాల గురించి హెచ్చరికను విడుదల చేసింది గుర్తించబడ్డాయి మరియు అవి క్లిష్టమైనవి matrix-js-sdk, matrix-ios-sdk, మరియు matrix-android-sdk2 లైబ్రరీలలో సర్వర్ నిర్వాహకులు ఇతర వినియోగదారుల వలె నటించడానికి మరియు ఎండ్-టు-ఎండ్ ఎన్‌క్రిప్టెడ్ చాట్‌ల (E2EE) నుండి సందేశాలను చదవడానికి అనుమతిస్తారు.

అది ప్రస్తావించబడింది దాడిని విజయవంతంగా పూర్తి చేయడానికి, దాడి చేసే వారిచే నియంత్రించబడే హోమ్ సర్వర్‌ని తప్పనిసరిగా యాక్సెస్ చేయాలి (హోమ్ సర్వర్: క్లయింట్ చరిత్ర మరియు ఖాతాలను నిల్వ చేయడానికి సర్వర్). క్లయింట్ వైపు ఎండ్-టు-ఎండ్ ఎన్‌క్రిప్షన్‌ని ఉపయోగించడం సర్వర్ అడ్మినిస్ట్రేటర్ సందేశంలో జోక్యం చేసుకోవడానికి అనుమతించదు, అయితే గుర్తించబడిన దుర్బలత్వాలు ఈ రక్షణను తప్పించుకోవడానికి అనుమతిస్తాయి.

సమస్యలు ప్రధాన ఎలిమెంట్ మ్యాట్రిక్స్ క్లయింట్‌ను ప్రభావితం చేస్తాయి (గతంలో Riot) వెబ్, డెస్క్‌టాప్, iOS మరియు Android కోసం, అలాగే Cinny, Beeper, SchildiChat, Circuli మరియు Synod.im వంటి థర్డ్-పార్టీ క్లయింట్ యాప్‌లు.

matrix-rust-sdk, hydrogen-sdk, Matrix Dart SDK, mautrix-python, mautrix-go, మరియు matrix-nio, అలాగే హైడ్రోజన్, ElementX, Nheko, FluffyChat, Siphon, Timmy, లైబ్రరీలలో దుర్బలత్వాలు కనిపించవు. Gomuks, మరియు Pantalaimon అప్లికేషన్లు.

క్లిష్టమైన తీవ్రత సమస్యలు matrix-js-sdk మరియు డెరివేటివ్‌లలో అమలు సమస్యలు మరియు మ్యాట్రిక్స్‌లో ప్రోటోకాల్ సమస్యలు కాదని గమనించండి. మేము చూసిన పరిశోధకుల పత్రం యొక్క తాజా వెర్షన్ ఎలిమెంట్‌ను "బెంచ్‌మార్క్ మ్యాట్రిక్స్ క్లయింట్"గా తప్పుగా చిత్రీకరిస్తుంది మరియు తక్కువ తీవ్రత ప్రోటోకాల్ విమర్శలతో అధిక తీవ్రత అమలు లోపాలను గందరగోళానికి గురిచేస్తుంది.

మూడు దృశ్యాలు ఉన్నాయి ప్రధాన దాడి:

  1. మ్యాట్రిక్స్ సర్వర్ అడ్మినిస్ట్రేటర్ క్రాస్-సిగ్నేచర్‌లను ఉపయోగించడం ద్వారా మరియు మరొక వినియోగదారు వలె నటించడం ద్వారా ఎమోజి-ఆధారిత ధృవీకరణ (SAS, షార్ట్ అథెంటికేషన్ చైన్‌లు)ని విచ్ఛిన్నం చేయవచ్చు. పరికరం ID హ్యాండ్లింగ్ మరియు క్రాస్-సైనింగ్ కీల కలయికకు సంబంధించిన మ్యాట్రిక్స్-js-sdk కోడ్‌లోని దుర్బలత్వం (CVE-2022-39250) కారణంగా సమస్య ఏర్పడింది.
  2. సర్వర్‌ను నియంత్రించే దాడి చేసే వ్యక్తి విశ్వసనీయ పంపినవారి వలె నటించి, ఇతర వినియోగదారుల నుండి సందేశాలను అడ్డగించడానికి నకిలీ కీని పంపవచ్చు. మ్యాట్రిక్స్-js-sdk (CVE-2022-39251), matrix-ios-sdk (CVE-2022-39255), మరియు matrix-android-sdk2 (CVE-2022-39248)లో దుర్బలత్వం కారణంగా సమస్య ఏర్పడింది. క్లయింట్ ఓల్మ్‌కు బదులుగా మెగోల్మ్ ప్రోటోకాల్‌ను ఉపయోగించి ఎన్‌క్రిప్టెడ్ పరికరాలకు ఉద్దేశించిన సందేశాలను తప్పుగా అంగీకరిస్తుంది, సందేశాలను అసలు పంపేవారికి బదులుగా మెగోల్మ్ పంపినవారికి ఆపాదిస్తుంది.
  3. మునుపటి పేరాలో పేర్కొన్న దుర్బలత్వాలను ఉపయోగించడం ద్వారా, సందేశాలను గుప్తీకరించడానికి ఉపయోగించే కీలను సంగ్రహించడానికి సర్వర్ నిర్వాహకుడు వినియోగదారు ఖాతాకు డమ్మీ స్పేర్ కీని కూడా జోడించవచ్చు.

హానిని గుర్తించిన పరిశోధకులు మూడవ పక్ష వినియోగదారుని చాట్‌కి జోడించే దాడులను కూడా ప్రదర్శించింది లేదా వినియోగదారుకు మూడవ పక్ష పరికరాన్ని కనెక్ట్ చేయండి. చాట్‌కు వినియోగదారులను జోడించడానికి ఉపయోగించే సేవా సందేశాలు చాట్ సృష్టికర్త యొక్క కీలకు లింక్ చేయబడవు మరియు సర్వర్ అడ్మినిస్ట్రేటర్ ద్వారా సృష్టించబడవచ్చు అనే వాస్తవం ఆధారంగా దాడులు జరిగాయి.

మ్యాట్రిక్స్ ప్రాజెక్ట్ డెవలపర్‌లు ఈ దుర్బలత్వాలను చిన్నవిగా వర్గీకరించారు, ఇటువంటి అవకతవకలు మ్యాట్రిక్స్‌కు అంతర్లీనంగా ఉండవు మరియు ప్రోటోకాల్ ఆధారంగా క్లయింట్‌లను మాత్రమే ప్రభావితం చేస్తాయి, కానీ అవి గుర్తించబడవని దీని అర్థం కాదు: వినియోగదారుని భర్తీ చేస్తే, అది చాట్ వినియోగదారుల జాబితాలో చూపబడుతుంది మరియు జోడించినప్పుడు పరికరం, హెచ్చరిక ప్రదర్శించబడుతుంది మరియు పరికరం ధృవీకరించబడనిదిగా గుర్తించబడుతుంది (ఈ సందర్భంలో, అనధికార పరికరాన్ని జోడించిన వెంటనే, సందేశాలను డీక్రిప్ట్ చేయడానికి అవసరమైన పబ్లిక్ కీలను స్వీకరించడం ప్రారంభిస్తుంది.

ఇక్కడ ఉన్న క్లిష్టమైన సమస్యలకు మూలకారణంలోని బగ్‌ల వల్ల matrix-rust-sdk, hydrogen-sdk మరియు ఇతర XNUMXవ మరియు XNUMXవ తరం SDKలు ప్రభావితం కాలేదని మీరు గమనించవచ్చు. ఈ కారణంగానే మేము మొదటి తరం SDKలను మ్యాట్రిక్స్-రస్ట్-sdk రూపంలో శుభ్రమైన, జాగ్రత్తగా వ్రాసిన అమలుతో భర్తీ చేయడానికి కృషి చేస్తున్నాము, ఇది కొనసాగుతున్న స్వతంత్ర పబ్లిక్ ఆడిట్‌తో పూర్తయింది.

వ్యక్తిగత అమలులోని బగ్‌ల వల్ల దుర్బలత్వాలు ఏర్పడతాయి మ్యాట్రిక్స్ ప్రోటోకాల్ మరియు అవి ప్రోటోకాల్ యొక్క సమస్యలు కావు. ప్రస్తుతం, ప్రాజెక్ట్ సమస్యాత్మక SDKలు మరియు వాటి పైన నిర్మించిన కొన్ని క్లయింట్ అప్లికేషన్‌ల కోసం అప్‌డేట్‌లను విడుదల చేసింది.

చివరగా అవును మీరు దాని గురించి మరింత తెలుసుకోవాలనే ఆసక్తిని కలిగి ఉన్నారు, మీరు వివరాలను తనిఖీ చేయవచ్చు క్రింది లింక్.


వ్యాసం యొక్క కంటెంట్ మా సూత్రాలకు కట్టుబడి ఉంటుంది సంపాదకీయ నీతి. లోపం నివేదించడానికి క్లిక్ చేయండి ఇక్కడ.

వ్యాఖ్యానించిన మొదటి వ్యక్తి అవ్వండి

మీ వ్యాఖ్యను ఇవ్వండి

మీ ఇమెయిల్ చిరునామా ప్రచురితమైన కాదు.

*

*

  1. డేటాకు బాధ్యత: మిగ్యుల్ ఏంజెల్ గాటన్
  2. డేటా యొక్క ఉద్దేశ్యం: కంట్రోల్ స్పామ్, వ్యాఖ్య నిర్వహణ.
  3. చట్టబద్ధత: మీ సమ్మతి
  4. డేటా యొక్క కమ్యూనికేషన్: డేటా చట్టపరమైన బాధ్యత ద్వారా తప్ప మూడవ పార్టీలకు తెలియజేయబడదు.
  5. డేటా నిల్వ: ఆక్సెంటస్ నెట్‌వర్క్స్ (EU) హోస్ట్ చేసిన డేటాబేస్
  6. హక్కులు: ఎప్పుడైనా మీరు మీ సమాచారాన్ని పరిమితం చేయవచ్చు, తిరిగి పొందవచ్చు మరియు తొలగించవచ్చు.