Sicherheitslücken in Matrix-Clients, die die Offenlegung von End-to-End-Verschlüsselungsschlüsseln ermöglichen.

In den meisten Client-Anwendungen für die dezentrale Kommunikationsplattform Matrix wurden Schwachstellen (CVE-2021-40823, CVE-2021-40824) festgestellt, die es ermöglichen, Informationen über die Schlüssel zu erhalten, die für die Übertragung von Nachrichten in Chats mit Ende-zu-Ende-Verschlüsselung (E2EE) verwendet werden. Ein Angreifer, der einen der Chat-Nutzer kompromittiert hat, kann Nachrichten entschlüsseln, die zuvor an diesen Nutzer aus den anfälligen Client-Anwendungen gesendet wurden.

Für einen erfolgreichen Angriff ist der Zugang zum Konto des Empfängers erforderlich. Dieser Zugang kann entweder durch das Leaken der Kontodaten oder durch einen Hack des Matrix-Servers, über den der Nutzer verbunden ist, erlangt werden. Die Schwachstellen stellen die größte Gefahr für Nutzer von verschlüsselten Chat-Räumen dar, die mit Matrix-Servern verbunden sind, die von Angreifern kontrolliert werden. Die Administratoren solcher Server könnten versuchen, sich als Nutzer des Servers auszugeben, um Nachrichten abzufangen, die in Chats mit anfälligen Client-Anwendungen gesendet werden.

Die Schwachstellen werden durch logische Fehler in der Implementierung von Mechanismen zur Wiederherstellung des Zugriffs auf Schlüssel verursacht, die in matrix-js-sdk < 12.4.1 (CVE-2021-40823), matrix-android-sdk2 < 1.2.2 (CVE-2021-40824), matrix-rust-sdk < 0.4.0, FamedlySDK < 0.5.0 und Nheko ≤ 0.8.2 vorgeschlagen werden. Implementierungen, die auf den Bibliotheken matrix-ios-sdk, matrix-nio und libolm basieren, sind von diesen Schwachstellen nicht betroffen.

Dementsprechend treten die Schwachstellen in allen Anwendungen auf, die den fehlerhaften Code übernommen haben, und betreffen nicht direkt die Protokolle Matrix und Olm/Megolm. Insbesondere betrifft das Problem den Haupt-Matrix-Client Element (ehemals Riot) für Web, Desktop-Systeme und Android sowie Drittanbieter-Clientanwendungen und Bibliotheken, einschließlich FluffyChat, Nheko, Cinny und SchildiChat. Das Problem tritt nicht im offiziellen Client für die iOS-Plattform sowie in den Anwendungen Chatty, Hydrogen, mautrix, purple-matrix und Syphon auf.

Schwachstellen wurden während des Sicherheitsaudits des Kunden Element entdeckt. Für alle betroffenen Kunden wurden bereits Korrekturen veröffentlicht. Den Nutzern wird dringend empfohlen, die Updates sofort zu installieren. Vor der Installation des Updates sollten die Clients jedoch in den Offline-Modus versetzt werden. Vor der Veröffentlichung des Patches liegen keine Beweise für den Missbrauch der Schwachstelle vor. Anhand der regulären Protokolle des Kunden und Server kann der Vorfall einer Attacke nicht eindeutig festgestellt werden. Da eine Kompromittierung des Kontos für die Attacke erforderlich ist, können Administratoren auffällige Anmeldeversuche in den Authentifizierungsprotokollen ihrer Server analysieren. Die Nutzer sollten auch die Liste der mit ihrem Konto verknüpften Geräte auf kürzliche Wiederverbindungen und Änderungen des Vertrauensstatus überprüfen.

Der Mechanismus zur Wiederverwendung von Schlüsseln (Key Sharing), bei dem Sicherheitsanfälligkeiten gefunden wurden, ermöglicht es einem Kunden, der keine Schlüssel zum Entschlüsseln einer Nachricht hat, diese Schlüssel von dem Sendergerät oder anderen Geräten des Kunden anzufordern. Ein solches Feature ist beispielsweise erforderlich, um alte Nachrichten auf einem neuen Gerät des Nutzers zu entschlüsseln oder im Falle eines Schlüsselverlusts. Die Protokollspezifikation schreibt vor, dass Anfragen nach Schlüsseln standardmäßig nicht beantwortet werden und sie automatisch nur an verifizierte Geräte desselben Nutzers gesendet werden. Leider wurde dieses Anforderung in praktischen Implementierungen nicht erfüllt, und Anfragen zur Schlüsselübertragung wurden ohne angemessene Geräteidentifikation verarbeitet.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster