Veikleikar (CVE-2021-40823, CVE-2021-40824) hafa verið greindir í flestum biðlaraforritum fyrir Matrix dreifða samskiptavettvanginn, sem gerir kleift að fá upplýsingar um lyklana sem notaðir eru til að senda skilaboð í dulkóðuðu spjalli frá enda til enda (E2EE) fengin. Árásarmaður sem gerir einn af spjallnotendum í hættu getur afkóðað skilaboð sem áður hafa verið send til viðkomandi notanda frá viðkvæmum biðlaraforritum.
Vel heppnuð aðgerð krefst aðgangs að reikningi viðtakanda skilaboðanna. Hægt er að fá aðgang annað hvort með leka á reikningsbreytum eða með reiðhestur á Matrix netþjóninn sem notandinn tengist í gegnum. Varnarleysið skapar mesta hættu fyrir notendur dulkóðaðra spjallrása sem Matrix-þjónar sem stjórnað er af árásarmönnum eru tengdir við. Stjórnendur slíkra netþjóna gætu reynt að líkja eftir notendum miðlara til að stöðva spjallskilaboð sem send eru frá viðkvæmum viðskiptavinaforritum.
Veikleikarnir stafa af rökvillum í útfærslu lykilafspilunarkerfisins sem lagt er til í matrix-js-sdk < 12.4.1 (CVE-2021-40823), matrix-android-sdk2 < 1.2.2 (CVE-2021-40824) , fylki -rust-sdk < 0.4.0, FamedlySDK < 0.5.0 og Nheko ≤ 0.8.2. Útfærslur byggðar á matrix-ios-sdk, matrix-nio og libolm bókasöfnunum eru ekki viðkvæmar fyrir veikleikum.
Í samræmi við það birtast veikleikar í öllum forritum sem fá erfiða kóðann að láni og hafa ekki bein áhrif á Matrix og Olm/Megolm samskiptareglurnar. Einkum hefur vandamálið áhrif á aðal Matrix biðlara Element (áður Riot) fyrir vef, skjáborð og Android, sem og þriðja aðila viðskiptavinaforrit og bókasöfn, þar á meðal FluffyChat, Nheko, Cinny og SchildiChat. Vandamálið birtist ekki í opinberum viðskiptavinum iOS vettvangsins, sem og í Chatty, Hydrogen, mautrix, purple-matrix og Siphon forritunum.
Veikleikarnir komu fram við öryggisúttekt á Element viðskiptavininum. Lagfæringar hafa nú verið gefnar út fyrir alla viðskiptavini sem verða fyrir áhrifum. Notendum er bent á að setja upp uppfærslur strax og taka viðskiptavini án nettengingar áður en uppfærslan er sett upp. Það eru engar vísbendingar um hagnýtingu á varnarleysinu áður en plásturinn var gefinn út. Það er ómögulegt að ákvarða staðreyndina um árás með því að nota staðlaða biðlara og netþjónaskrár, en þar sem árásin krefst málamiðlunar reiknings geta stjórnendur greint tilvist grunsamlegra innskráninga með því að nota auðkenningarskrár á netþjónum sínum og notendur geta metið listann yfir tæki sem tengd eru á reikning sinn fyrir nýlegar endurtengingar og stöðubreytingar traust.
Lyklasamnýtingarbúnaðurinn, í útfærslunni sem varnarleysi fundust, gerir viðskiptavinum sem ekki hefur lyklana til að afkóða skilaboð að biðja um lykla frá tæki sendandans eða öðrum tækjum hans. Til dæmis er slíkur möguleiki nauðsynlegur til að tryggja afkóðun gamalla skilaboða á nýju notendatæki eða ef notandi týnir fyrirliggjandi lyklum. Samskiptareglurnar mæla sjálfgefið fyrir um að svara ekki lykilbeiðnum og senda þær sjálfkrafa aðeins til staðfestra tækja sama notanda. Því miður, í verklegum útfærslum, var þessari kröfu ekki uppfyllt og beiðnir um að senda lykla voru unnar án viðeigandi auðkenningar tækis.
Heimild: opennet.ru