Matrix merkezi olmayan iletişim platformu için çoğu istemci uygulamasında güvenlik açıkları (CVE-2021-40823, CVE-2021-40824) tespit edilmiş olup, uçtan uca şifrelenmiş (E2EE) sohbetlerde mesajları iletmek için kullanılan anahtarlar hakkındaki bilgilerin Elde edilen. Sohbet kullanıcılarından birinin güvenliğini ihlal eden bir saldırgan, güvenlik açığı bulunan istemci uygulamalarından o kullanıcıya daha önce gönderilen mesajların şifresini çözebilir.
Başarılı işlem, mesaj alıcısının hesabına erişim gerektirir. Erişim, hesap parametrelerinin sızdırılması yoluyla veya kullanıcının bağlandığı Matrix sunucusunun hacklenmesi yoluyla elde edilebilir. Açıklar en büyük tehlikeyi saldırganlar tarafından kontrol edilen Matrix sunucularının bağlı olduğu şifreli sohbet odalarının kullanıcıları için oluşturuyor. Bu tür sunucuların yöneticileri, güvenlik açığı bulunan istemci uygulamalarından gönderilen sohbet mesajlarını engellemek için sunucu kullanıcılarının kimliğine bürünmeye çalışabilir.
Güvenlik açıkları, matris-js-sdk < 12.4.1 (CVE-2021-40823), matris-android-sdk2 < 1.2.2 (CVE-2021-40824) kapsamında önerilen anahtar yeniden oynatma mekanizmasının uygulanmasındaki mantıksal hatalardan kaynaklanmaktadır. , matris -rust-sdk < 0.4.0, FamedlySDK < 0.5.0 ve Nheko ≤ 0.8.2. Matrix-ios-sdk, matris-nio ve libolm kitaplıklarını temel alan uygulamalar güvenlik açıklarından etkilenmez.
Buna göre sorunlu kodu ödünç alan ve Matrix ve Olm/Megolm protokollerini doğrudan etkilemeyen tüm uygulamalarda güvenlik açıkları ortaya çıkıyor. Sorun özellikle Web, masaüstü ve Android için ana Matrix istemci Elementinin (eski adıyla Riot) yanı sıra FluffyChat, Nheko, Cinny ve SchildiChat dahil üçüncü taraf istemci uygulamalarını ve kitaplıklarını etkiliyor. Sorun, iOS platformunun resmi istemcisinde ve Chatty, Hydrogen, mautrix, Purple-Matrix ve Siphon uygulamalarında görünmüyor.
Güvenlik açıkları, Element istemcisinin güvenlik denetimi sırasında belirlendi. Etkilenen tüm istemciler için düzeltmeler yayımlandı. Kullanıcıların güncellemeleri hemen yüklemeleri ve güncellemeyi yüklemeden önce istemcileri çevrimdışına almaları önerilir. Yamanın yayınlanmasından önce güvenlik açığından yararlanıldığına dair herhangi bir kanıt bulunmuyor. Standart istemci ve sunucu günlüklerini kullanarak bir saldırının gerçekliğini belirlemek imkansızdır, ancak saldırı hesap güvenliğinin ihlal edilmesini gerektirdiğinden, yöneticiler sunucularındaki kimlik doğrulama günlüklerini kullanarak şüpheli girişlerin varlığını analiz edebilir ve kullanıcılar bağlı cihazların listesini değerlendirebilir son yeniden bağlantılar ve durum değişiklikleri için hesaplarına güven.
Uygulamasında güvenlik açıkları bulunan anahtar paylaşım mekanizması, anahtarlara sahip olmayan bir istemcinin, gönderenin cihazından veya diğer cihazlarından anahtar istemek için bir mesajın şifresini çözmesine olanak tanır. Örneğin, yeni bir kullanıcı cihazında eski mesajların şifresinin çözülmesini sağlamak için veya kullanıcının mevcut anahtarları kaybetmesi durumunda böyle bir yetenek gereklidir. Protokol spesifikasyonu, varsayılan olarak anahtar isteklere yanıt verilmemesini ve bunların yalnızca aynı kullanıcının doğrulanmış cihazlarına otomatik olarak gönderilmesini öngörür. Ne yazık ki pratik uygulamalarda bu gereklilik karşılanmadı ve anahtar gönderme talepleri uygun cihaz kimliği olmadan işleme alındı.
Kaynak: opennet.ru