Zəifliklər (CVE-2021-40823, CVE-2021-40824) Matrix qeyri-mərkəzləşdirilmiş kommunikasiya platforması üçün əksər müştəri proqramlarında müəyyən edilmişdir ki, bu da uçdan-uca şifrələnmiş (E2EE) söhbətlərdə mesajların ötürülməsi üçün istifadə olunan açarlar haqqında məlumatı əldə etməyə imkan verir. əldə edilmişdir. Söhbət istifadəçilərindən birini ələ keçirən təcavüzkar həssas müştəri proqramlarından həmin istifadəçiyə əvvəllər göndərilmiş mesajların şifrəsini aça bilər.
Uğurlu əməliyyat mesajı qəbul edənin hesabına giriş tələb edir. Giriş ya hesab parametrlərinin sızması, ya da istifadəçinin qoşulduğu Matrix serverinin sındırılması yolu ilə əldə edilə bilər. Zəifliklər təcavüzkarlar tərəfindən idarə olunan Matrix serverlərinin qoşulduğu şifrələnmiş söhbət otaqlarının istifadəçiləri üçün ən böyük təhlükə yaradır. Bu cür serverlərin administratorları həssas müştəri proqramlarından göndərilən söhbət mesajlarını ələ keçirmək üçün server istifadəçilərini təqlid etməyə cəhd edə bilərlər.
Zəifliklər matrix-js-sdk < 12.4.1 (CVE-2021-40823), matrix-android-sdk2 < 1.2.2 (CVE-2021-40824) sənədlərində təklif olunan açarın təkrar oxutma mexanizminin həyata keçirilməsində məntiqi səhvlərdən qaynaqlanır. , matrix -rust-sdk < 0.4.0, FamedlySDK < 0.5.0 və Nheko ≤ 0.8.2. Matrix-ios-sdk, matrix-nio və libolm kitabxanalarına əsaslanan tətbiqlər zəifliklərə həssas deyil.
Müvafiq olaraq, problemli kodu götürən və Matrix və Olm/Megolm protokollarına birbaşa təsir etməyən bütün proqramlarda zəifliklər görünür. Xüsusilə, problem Veb, masaüstü və Android üçün əsas Matrix müştəri Elementinə (əvvəllər Riot), həmçinin FluffyChat, Nheko, Cinny və SchildiChat daxil olmaqla üçüncü tərəf müştəri proqramları və kitabxanalarına təsir göstərir. Problem iOS platforması üçün rəsmi müştəridə, həmçinin Chatty, Hydrogen, mautrix, purple-matrix və Siphon proqramlarında görünmür.
Boşluqlar Element müştərisinin təhlükəsizlik auditi zamanı müəyyən edilib. Təsirə məruz qalan bütün müştərilər üçün düzəlişlər buraxıldı. İstifadəçilərə yeniləmələri quraşdırmadan əvvəl dərhal yeniləmələri quraşdırmaları və müştəriləri oflayn rejimə keçirmələri tövsiyə olunur. Yamağın dərcindən əvvəl zəifliyin istismarına dair heç bir sübut yoxdur. Standart müştəri və server qeydlərindən istifadə edərək hücum faktını müəyyən etmək mümkün deyil, lakin hücum hesabın kompromatını tələb etdiyi üçün administratorlar öz serverlərindəki autentifikasiya qeydlərindən istifadə edərək şübhəli girişlərin mövcudluğunu təhlil edə, istifadəçilər isə əlaqəli cihazların siyahısını qiymətləndirə bilərlər. son yenidən qoşulmalar və status dəyişiklikləri üçün onların hesabına etibar.
Həyata keçirilməsində boşluqların aşkar edildiyi açar paylaşma mexanizmi mesajın şifrəsini açmaq üçün açarları olmayan müştəriyə göndərənin cihazından və ya onun digər cihazlarından açar tələb etmək imkanı verir. Məsələn, yeni istifadəçi cihazında köhnə mesajların şifrəsinin açılmasını təmin etmək və ya istifadəçi mövcud açarları itirdikdə belə bir imkan lazımdır. Protokol spesifikasiyası standart olaraq əsas sorğulara cavab verməməyi və onları avtomatik olaraq yalnız eyni istifadəçinin təsdiqlənmiş cihazlarına göndərməyi nəzərdə tutur. Təəssüf ki, praktiki tətbiqlərdə bu tələb yerinə yetirilmədi və açarların göndərilməsi tələbləri cihazın müvafiq identifikasiyası olmadan işləndi.
Mənbə: opennet.ru