Wasanidi programu wa jukwaa la mawasiliano lililogatuliwa la Matrix wameonya kuhusu udhaifu mkubwa katika maktaba ya matrix-js-sdk, matrix-ios-sdk na matrix-android-sdk2 ambayo huruhusu wasimamizi wa seva kuiga watumiaji wengine na kusoma ujumbe kwa njia fiche kutoka mwisho hadi mwisho. (E2EE) mazungumzo. Athari za kiusalama husababishwa na hitilafu katika utekelezaji wa mtu binafsi wa itifaki ya Matrix na si matatizo ya itifaki yenyewe. Kwa sasa, mradi umetoa masasisho kwa SDK zenye matatizo na baadhi ya programu za mteja zilizojengwa kwa misingi yao.
Ili kutekeleza shambulio kwa mafanikio, ufikiaji wa kompyuta ya nyumbani inayodhibitiwa na mshambuliaji unahitajika. seva (homeserver - seva ya kuhifadhi historia na akaunti za mteja). Matumizi ya usimbaji fiche wa mwanzo hadi mwisho kwa upande wa mteja hayamruhusu msimamizi. seva kuingilia kati na utumaji ujumbe, lakini udhaifu uliotambuliwa hufanya iwezekane kukwepa ulinzi huu. Masuala haya yanaathiri mteja mkuu wa Matrix, Element (zamani Riot), kwa wavuti, kompyuta za mezani, iOS, na Android, pamoja na programu za mteja wa tatu, ikiwa ni pamoja na Cinny, Beeper, SchildiChat, Circuli, na Synod.im. Udhaifu huu hauathiri maktaba za matrix-rust-sdk, hydrogen-sdk, Matrix Dart SDK, mautrix-python, mautrix-go, na matrix-nio, au programu za Hydrogen, ElementX, Nheko, FluffyChat, Syphon, Timmy, Gomuks, na Pantalaimon.
Kuna hali tatu kuu za shambulio:
- Msimamizi wa seva ya Matrix anaweza kuvunja uthibitishaji unaotegemea emoji (SAS, Mifuatano Fupi ya Uthibitishaji) anapotumia sahihi-sauti na kuiga mtumiaji mwingine. Tatizo hili linasababishwa na uwezekano wa kuathiriwa (CVE-2022-39250) katika msimbo wa matrix-js-sdk unaohusiana na kuchanganya ushughulikiaji wa vitambulisho vya kifaa na vitufe vya sahihi zaidi.
- Mshambulizi anayedhibiti seva anaweza kuhadaa mtumaji mwaminifu na kupitisha ufunguo wa kudanganya ili kunasa ujumbe kutoka kwa watumiaji wengine. Tatizo hili linasababishwa na kuathirika katika matrix-js-sdk (CVE-2022-39251), matrix-ios-sdk (CVE-2022-39255) na matrix-android-sdk2 (CVE-2022-39248), ambayo ilisababisha mteja kukubali kimakosa ujumbe unaotumwa kwa vifaa vilivyosimbwa kwa njia fiche kwa kutumia itifaki ya Megolm badala ya Olm, akihusisha ujumbe na mtumaji wa Megolm badala ya mtumaji halisi.
- Kwa kutumia udhaifu uliotajwa katika aya iliyotangulia, msimamizi wa seva anaweza pia kuongeza kitufe cha siri kwenye akaunti ya mtumiaji ili kutoa vitufe vinavyotumiwa kusimba ujumbe.
Watafiti waliotambua athari hiyo pia walionyesha mashambulizi ambayo yanaongeza mtumiaji mwingine kwenye gumzo au kuambatisha kifaa cha watu wengine kwa mtumiaji. Mashambulizi hayo yanatokana na ukweli kwamba jumbe za huduma zinazotumiwa kuongeza watumiaji kwenye gumzo hazijafungwa kwenye funguo za mtayarishaji gumzo na zinaweza kuzalishwa na msimamizi wa seva. Wasanidi programu kutoka mradi wa Matrix waliainisha udhaifu huu kuwa mdogo, kwa kuwa upotoshaji kama huo hautatambuliwa - ikiwa mtumiaji atabadilishwa, ataonyeshwa kwenye orodha ya watumiaji wa gumzo, na kifaa kinapoongezwa, onyo litaonyeshwa, na kifaa kitawekwa alama kuwa hakijathibitishwa (katika kesi hii, mara tu baada ya kuongeza kifaa chafu kitaanza kupokea funguo za umma zinazohitajika kusimbua ujumbe).
Chanzo: opennet.ru
