geçenlerde güvenlik açıklarının tespit edildiği haberi yayınlandı (CVE-2021-40823, CVE-2021-40824) çoğu istemci uygulamasında merkezi olmayan iletişim platformu için Matris, Bu, şifreli uçtan uca sohbetlerde (E2EE) mesajları aktarmak için kullanılan anahtarlar hakkında bilgi edinilmesini sağlar.
Kullanıcılardan birinin güvenliğini ihlal eden bir saldırgan sohbetten önceden gönderilen mesajların şifresini çözebilir güvenlik açığı bulunan istemci uygulamalarından bu kullanıcıya. Başarılı işlem, mesaj alıcısının hesabına erişim gerektirir ve erişim, hem hesap parametrelerinin sızdırılması yoluyla hem de kullanıcının bağlandığı Matrix sunucusunu hackleyerek elde edilebilir.
Bundan bahsediliyor güvenlik açıkları, saldırganlar tarafından kontrol edilen Matrix sunucularının bağlı olduğu şifreli sohbet odalarının kullanıcıları için en tehlikelidir. Bu tür sunucuların yöneticileri, güvenlik açığı bulunan istemci uygulamalarından sohbete gönderilen mesajları engellemek için sunucu kullanıcılarının kimliğine bürünmeye çalışabilir.
Güvenlik açıkları anahtarlara yeniden erişim izni verme mekanizmasının uygulanmasındaki mantıksal hatalardan kaynaklanır. tespit edilen farklı istemcilerdeki teklifler. matrix-ios-sdk, matrix-nio ve libolm kitaplıklarına dayalı uygulamalar güvenlik açıklarına karşı savunmasız değildir.
Bu duruma göre, sorunlu kodu ödünç alan tüm uygulamalarda güvenlik açıkları görünüyor y Matrix ve Olm/Megolm protokollerini doğrudan etkilemezler.
Sorun özellikle web, masaüstü ve Android için temel Element Matrix (eski adıyla Riot) istemcisinin yanı sıra FluffyChat, Nheko, Cinny ve SchildiChat gibi üçüncü taraf istemci uygulamaları ve kitaplıklarını etkiliyor. Resmi iOS istemcisinde veya Chatty, Hydrogen, mautrix, Purple-matrix ve Siphon uygulamalarında sorun görünmüyor.
Etkilenen istemcilerin yamalı sürümleri artık mevcuttur; bu yüzden mümkün olan en kısa sürede güncellenmesi rica olunur ve verdiğimiz rahatsızlıktan dolayı özür dileriz. Yükseltme yapamıyorsanız, savunmasız istemcileri yapabilene kadar çevrimdışı tutmayı düşünün. Güvenlik açığı bulunan istemciler çevrimdışıysa, anahtarları ifşa etmeleri için kandırılamazlar. Güncellendiklerinde güvenli bir şekilde tekrar çevrimiçi olabilirler.
Ne yazık ki, hem istemcilerde hem de sunucularda bulunan standart günlük düzeyleriyle bu saldırının örneklerini geriye dönük olarak belirlemek zor veya imkansızdır. Ancak saldırı, hesabın ele geçirilmesini gerektirdiğinden, ev sunucusu yöneticileri, herhangi bir uygunsuz erişim belirtisi için kimlik doğrulama günlüklerini gözden geçirmek isteyebilir.
Uygulamada güvenlik açıkları bulunan anahtar değişim mekanizması, anahtarlara sahip olmayan bir istemcinin, gönderenin cihazından veya diğer cihazlardan anahtar istemek için bir mesajın şifresini çözmesine izin verir.
Örneğin, bu yetenek, kullanıcının yeni cihazındaki eski mesajların şifresinin çözülmesini sağlamak veya kullanıcının mevcut anahtarlarını kaybetmesi durumunda gereklidir. Protokol belirtimi, varsayılan olarak, anahtar isteklere yanıt vermemeyi ve bunları yalnızca aynı kullanıcının doğrulanmış cihazlarına otomatik olarak göndermeyi öngörür. Ne yazık ki, pratik uygulamalarda bu gereksinim karşılanmadı ve anahtar gönderme istekleri, uygun cihaz tanımlaması olmadan işlendi.
Güvenlik açıkları, Element istemcisinin güvenlik denetimi sırasında belirlendi. Düzeltmeler artık tüm sorunlu müşteriler tarafından kullanılabilir. Kullanıcılara, güncellemeyi yüklemeden önce güncellemeleri acilen yüklemeleri ve istemcilerin bağlantısını kesmeleri önerilir.
İncelemenin yayınlanmasından önce güvenlik açığından yararlanıldığına dair hiçbir kanıt yoktu.. Standart istemci ve sunucu günlüklerini kullanarak bir saldırının gerçekliğini belirlemek mümkün değildir, ancak saldırı hesabın ele geçirilmesini gerektirdiğinden, yöneticiler sunucularındaki kimlik doğrulama günlüklerini kullanarak şüpheli oturum açmaların varlığını analiz edebilir ve Kullanıcılar aşağıdakileri değerlendirebilir: son yeniden bağlantılar ve güven durumu değişiklikleri için hesaplarına bağlı cihazlar.
kaynak: https://matrix.org