Kamakailan lamang ang balita ay inilabas na ang mga kahinaan ay nakilala (CVE-2021-40823, CVE-2021-40824) sa karamihan ng mga aplikasyon ng client para sa desentralisadong platform ng komunikasyon matris, na nagpapahintulot sa pagkuha ng impormasyon tungkol sa mga key na ginamit upang ilipat ang mga mensahe sa naka-encrypt na mga end-to-end na chat (E2EE).
Isang umaatake na nakompromiso ang isa sa mga gumagamit galing sa chat maaaring i-decrypt ang dati nang naipadala na mga mensahe sa gumagamit na ito mula sa mga mahina na aplikasyon ng client. Ang matagumpay na operasyon ay nangangailangan ng pag-access sa account ng tatanggap ng mensahe at ang pag-access ay maaaring makuha pareho sa pamamagitan ng isang pagtagas ng mga parameter ng account at sa pamamagitan ng pag-hack sa Matrix server kung saan kumokonekta ang gumagamit.
Nabanggit na ang mga kahinaan ay pinaka-mapanganib para sa mga gumagamit ng mga naka-encrypt na chat room kung saan nakakonekta ang mga kinokontrol ng mga attacker ng Matrix server. Ang mga administrator ng naturang mga server ay maaaring subukang gayahin ang mga gumagamit ng server upang maharang ang mga mensahe na ipinadala sa chat mula sa mga mahina na aplikasyon ng client.
Mga Kakulangan ay sanhi ng mga lohikal na error sa pagpapatupad ng mekanismo upang bigyan ang muling pag-access sa mga susi ang mga panukala sa iba't ibang mga kliyente na napansin. Ang mga pagpapatupad batay sa matrix-ios-sdk, matrix-nio, at libolm na aklatan ay hindi mahina laban sa mga kahinaan.
Dahil dito, lumilitaw ang mga kahinaan sa lahat ng mga application na humiram ng may problemang code y hindi sila direktang nakakaapekto sa mga Matrix at Olm / Megolm na mga protokol.
Partikular, nakakaapekto ang isyu sa pangunahing Element Matrix (dating Riot) client para sa web, desktop, at Android, pati na rin mga application at library ng third-party na kliyente, tulad ng FluffyChat, Nheko, Cinny, at SchildiChat. Ang problema ay hindi lilitaw sa opisyal na iOS client, ni sa mga application ng Chatty, Hydrogen, mautrix, purple-matrix at Siphon.
Ang mga na-patch na bersyon ng mga apektadong kliyente ay magagamit na ngayon; kaya hiniling na ma-update ito sa lalong madaling panahon at humihingi kami ng paumanhin para sa abala. Kung hindi ka makakapag-upgrade, isaalang-alang ang panatilihing offline ang mga mahihinang kliyente hanggang sa magawa mo. Kung ang mga mahihinang kliyente ay naka-offline, hindi sila maaaring linlangin sa pagbubunyag ng mga susi. Maaari silang ligtas na makabalik sa online sa sandaling nai-update ang mga ito.
Sa kasamaang palad, mahirap o imposibleng kilalanin nang pabalik ang mga pagkakataong atake na ito na may mga karaniwang antas ng pag-log na nasa parehong mga kliyente at server. Gayunpaman, dahil ang pag-atake ay nangangailangan ng pag-kompromiso sa account, maaaring hilingin ng mga administrator ng server ng bahay na suriin ang kanilang mga tala ng pagpapatotoo para sa anumang mga palatandaan ng hindi naaangkop na pag-access.
Ang pangunahing mekanismo ng palitan, sa pagpapatupad kung saan natagpuan ang mga kahinaan, pinapayagan ang isang kliyente na walang mga susi upang mai-decrypt ang isang mensahe upang humiling ng mga susi mula sa aparato ng nagpadala o iba pang mga aparato.
Halimbawa, kinakailangan ang kakayahang ito upang matiyak ang pag-decrypt ng mga lumang mensahe sa bagong aparato ng gumagamit o sa kaganapan na mawawala ang gumagamit ng mga mayroon nang mga susi. Inireseta ng pagtutukoy ng protocol bilang default na hindi tumugon sa mga pangunahing kahilingan at awtomatikong ipadala lamang ang mga ito sa mga na-verify na aparato ng parehong gumagamit. Sa kasamaang palad, sa mga praktikal na pagpapatupad, hindi nakamit ang kinakailangang ito at ang mga kahilingan upang magpadala ng mga key ay naproseso nang walang tamang pagkakakilanlan ng aparato.
Ang mga kahinaan ay nakilala sa panahon ng isang audit sa seguridad ng Element client. Ang mga pag-aayos ay magagamit na ngayon sa lahat ng mga gusot na customer. Pinayuhan ang mga gumagamit na agarang mag-install ng mga update at idiskonekta ang mga kliyente bago i-install ang pag-update.
Walang katibayan ng pagsasamantala sa kahinaan bago ang paglabas ng pagsusuri. Imposibleng matukoy ang katotohanan ng isang pag-atake gamit ang karaniwang mga client at server log, ngunit dahil ang pag-atake ay nangangailangan ng pag-kompromiso sa account, maaaring suriin ng mga tagapangasiwa ang pagkakaroon ng mga kahina-hinalang pag-login gamit ang mga log ng pagpapatunay sa kanilang mga server, at maaaring suriin ng Mga Gumagamit ang listahan ng mga aparato na naka-link sa kanilang account para sa kamakailang mga muling koneksyon at mga pagbabago sa katayuan ng tiwala.
Fuente: https://matrix.org