LINUX.ORG.RU

Множественные уязвимости реализации E2E шифрования в некоторых клиентах Matrix

 ,


1

1

Обнародованы уязвимости CVE-2021-40823 и CVE-2021-40824 в клиентах Matrix, позволяющие раскрыть ключи сквозного шифрования. Уязвимости были найдены в ходе аудита безопасности клиента Element.

Уязвимости вызваны логическим ошибками в реализациях механизма предоставления повторного доступа к ключам, предложенных в matrix-js-sdk < 12.4.1 (CVE-2021-40823), matrix-android-sdk2 < 1.2.2 (CVE-2021-40824), matrix-rust-sdk < 0.4.0, FamedlySDK < 0.5.0 и Nheko ≤ 0.8.2. При определенных обстоятельствах можно заставить уязвимых клиентов раскрыть ключи шифрования сообщений, ранее отправленных этим клиентом собеседникам, учётные записи которых впоследствии взломали.

Использование этой уязвимости для чтения зашифрованных сообщений требует получения контроля над учетной записью получателя. Для этого необходимо либо напрямую скомпрометировать учетные данные пользователя, либо скомпрометировать его домашний сервер.

Таким образом, наибольшему риску подвергаются пользователи, находящиеся в зашифрованных комнатах, содержащих вредоносные серверы. Администраторы вредоносных серверов могут попытаться выдать себя за устройства своих пользователей, чтобы шпионить за сообщениями, отправляемыми уязвимыми клиентами в этой комнате.

Это не уязвимость в протоколах Matrix или Olm/Megolm, а также не в реализации libolm. Это ошибка реализации в некоторых клиентах Matrix и SDK, поддерживающих сквозное шифрование.

Исправленные версии уже доступны, рекомендуется немедленное обновление.

>>> Подробности

★★★★☆

Проверено: xaizek ()
Последнее исправление: xaizek (всего исправлений: 3)

Это не уязвимость в протоколах Matrix

Господи, да кому он всрался. Одна контора пилит и клиент/сервер и протокол.

zenkov ★★★
()
Ответ на: комментарий от Legioner

стал … безопасней

Для этого надо доказать, что до этого конечное количество опасностей.

anonymous
()

Хотелось бы послушать регистранта с понями на авушке, который на каждом углу этот матрикс пиарил и впаривал всем.

Ну и как питон девелоперы прокоментят? Уж 7 лет в проде на высоких нагрузках, а все никак… ни стабильности, ни секурности!?

Почему сами умняши с питона решили соскочить на го в части сервера и ушли пилить dentrite?

anonymous
()
Ответ на: комментарий от anonymous

В тексте вроде бы ясно сказано, что

  1. Баг в клиентском SDK (который не на питоне и никогда не нём не был)
  2. Баг логический, а следовательно от языка никак не зависит
intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 2)
Ответ на: комментарий от intelfx

Юзаю этот нех давно. Само по себе без громких разоблачений падает каждые 3 дня.

Иногда после обновления клиента. А иногда после «работ» по серверой части…

В чем магия?

anonymous
()
Ответ на: комментарий от intelfx

И таки да, далее по тексту:

Это ошибка реализации в некоторых клиентах Matrix и SDK, поддерживающих сквозное шифрование.

Реализацию в клиенте матрикс наверное не умняши/питоняши пилили. Ага.

Где этот с поней на аве?

anonymous
()
Ответ на: комментарий от anonymous

А в чём твоя проблема? Ты что то плохое увидел в этой новости? Вообще то это очень хорошо что уязвимости нашли, иначе они так и были бы ненайдены. Кода без багов не бывает.

eternal_sorrow ★★★★★
()

Рекомендуется немедленное обновление

Оба пользователя матрикса немедленно обновились и утерли пот со лба. Новость можно удалять.

anonymous
()
Ответ на: комментарий от eternal_sorrow

«Кода без багов не бывает» от создателей «не ошибается лишь тот, кто ничего не делает» и «я не обосрался, чо такова».

anonymous
()
Ответ на: комментарий от zenkov

На него, не разобравшись, перешло несколько OSS коммьюнити с IRC. Так что свои полтора пользователя у него есть.

А новость как новость, нет старухи без прорухи, или как оно там.

t184256 ★★★★★
()

Не нужно

anonymous
()
Ответ на: комментарий от zenkov

А альтернатив почти нет, кроме jabber. Что ещё есть для IM, чтобы несколько независимых друг от друга организаций могли поднимать свои сервера, и при переезде на другой сервер не терялась возможность отправлять сообщения прежним собеседникам (федеративность, как в e-mail и jabber), при этом с возможностью синхронизировать историю между устройствами и с клиентами под все популярные десктопные (GNU/Linux, Windows, macOS) и мобильные (iOS, Android) ОС, умеющие E2E-шифрование?

kmeaw ★★★
()
Ответ на: комментарий от Legioner

Ура. Хороший клиент стал ещё лучше и безопасней.

опять ура патриотический коммент( прям, как с опеннета:( да чего ж хорошего? ты софту доверял, вел в нем разговоры, а их слили. софт «для безопасности» с дырками создает ложное ощущение безопасности. молодежно и бестолково.

crypt ★★★★★
()
Ответ на: комментарий от crypt

С таким отношением к безопасности каши не сваришь. Дырки есть везде. В линуксе, в роутерах, в библиотеках, в оборудовании, в браузере, во всех программах. Это объективная реальность.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

У тебя отношение диванного теоретика. Если бы вопрос стоял так, что тебя могут посадить в результате, ты бы 100 раз подумал.

а объективная реальность вообще существует только в твоей голове.

crypt ★★★★★
()
Ответ на: комментарий от crypt

Посадит кто? От ответа на этот вопрос зависит степень безопасности.

Мне как-то приснилось общение с человеком, который банчил травой. Он со своим дилером созванивался тупо по обычному телефону. Не умеют они пользоваться телеграмами, старые слишком. Собственно так его менты и вычислили - взяли того дилера, взяли распечатку его звонков у оператора и прошли по всем контактам. Ну отстёгивает он теперь менту процент. Интересный сон.

Это я к тому, что те, кого могут посадить в результате, порой банальным телеграмом не заморачиваются. А те, кто ничего противозаконного не делают, слишком сильно заморачиваются.

Если ты наступил на мозоль АНБ, там уже интересные технические проблемы вырисовываются. И я бы таким людям не советовал бы пользоваться матриксом. Для них он покане готов.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от Legioner

Для них он пока не готов.

вот это я как раз и хочу сказать. а о какого рода безопасности тогда речь? в бытовых целях и вконтакте сгодится. гугловая и яндексовая почта отлично используется у коммерсов. смысл этих матрикосов _именно_ и _только_ в том, чтобы избежать проверки госорганов. и тут вот на тебе...

// crypt против наркотиков

crypt ★★★★★
()
Ответ на: комментарий от crypt

Безопасность штука комплексная. Туда же приватность.

Во-первых с почтой сравнение некорректное, почта это почта, чат это чат. Тем более, что в матрице есть и голос и видео.

Во-вторых матрица даёт независимость от одного провайдера. Забанит тебя ватсап потому, что ты в Крыму был и будешь чесать репу.

Шифрование даёт защиту от анализа твоих текстов рекламщиками и прочими. Тот же яндекс радостно читает всю твою почту, чтобы строить твой профиль. Кому-то пофиг, кому-то нет.

Ну и не всем нужна защита уровня Сноудена. Я вот знаю, что казахские полицейские никогда не найдут не публичные уязвимости в коде матрицы. То бишь если я обновляюсь достаточно быстро, я вполне себе в безопасности от любого внимания.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

Во-первых с почтой сравнение некорректное, почта это почта, чат это чат.

о?! и в чем же разница для безопасности?! просвети меня!

crypt ★★★★★
()
Последнее исправление: crypt (всего исправлений: 2)
Ответ на: комментарий от Legioner

delta chat реализует все то же самое (кроме анонимности) на базе email и pgp. ставь свой сервер на здоровье.

crypt ★★★★★
()
Ответ на: комментарий от eternal_sorrow

А в чём твоя проблема?

Выше писал в чем моя проблема. А так же тех, кого я на это присадил, так как богомерзкие телеграммы не пользую.

Вот мне с поней на аве с пеной у рта говорил: твой жаббер древнее гуано мамонта!11 выходи из литоргического сна, тут новая эра открывается… Хорошо джаббер таки не выкинул. Старичог хоть из прошлого века, а задачи выполняет!

Где он? Я хочу посмотреть в его регистрантские глаза!

Без багов не бывает, да. Почему онтопик стали пилить на го так и не допилив на питоне?

anonymous
()
Ответ на: комментарий от crypt

Спасибо товарищ регистрант. Приятно осознавать, что думающие люди еще остались! Иначе можно в петлю…

anonymous
()
Ответ на: комментарий от Legioner

Ок. Прайваси вопрос отодвинем, хотя бы потому что корни этого софта растут из одной израильской команды из небезизвестного amdocs, ручки которых добирались и до баз опсосов в сша, после чего с позором и атата были изгнаны самой анб.

Почему за 7 лет прода девелоперы не обеспечили просто стабильную работу? Чтобы через сообщение шифрование не вылетало и никто вообще не мог прочитать твой наброс?

Почему не исправив эти фатальные недостатки команда разрабов переключилась с питона на го и стала пилить с 0. 7 лет спустя1111!!!??

anonymous
()
Ответ на: комментарий от Legioner

Мне как-то приснилось общение с человеком, который банчил травой. Он со своим дилером созванивался тупо по обычному телефону. Не умеют они пользоваться телеграмами, старые слишком

Лалка. В твоем сне уже черный газенваген под окном припаркован.

anonymous
()
Ответ на: комментарий от Legioner

А те, кто ничего противозаконного не делают, слишком сильно заморачиваются.

Ок. Для меня переписка с моей тян - это важна и сверсикретна. Я не хочу чтобы кокой-то майор сидя в кресле онанировал, читая мои фантазии и представляя себк неизвестно что.

Что тут противозаконного. И кто в итоге закон нарушает? Почему у меня не должно быть права на приватность? На тайну личной жизни? Личной!!!

anonymous
()
Ответ на: комментарий от Legioner

Если ты наступил на мозоль АНБ, там уже интересные технические проблемы вырисовываются. И я бы таким людям не советовал бы пользоваться матриксом. Для них он покане готов.

Таким людям я бы не советовал пользоваться любыми электроприборами. А по сути дышать и говорить…

anonymous
()
Ответ на: комментарий от Legioner

Во-вторых матрица даёт независимость от одного провайдера. Забанит тебя ватсап потому, что ты в Крыму был и будешь чесать репу.

По моим данным в сша матрица забанена. Из-за вышеуказанных проблем с амдокс и как следствие вектором инк. Я инфу не проверял. Но если это так, то такой вот Крым.

вот знаю, что казахские полицейские никогда не найдут не публичные уязвимости в коде матрицы.

Помимо казахских полицейских есть пока казахская академия наук, где остались еще люди советской школы. Так что зри чуть дальше…

То бишь если я обновляюсь достаточно быстро, я вполне себе в безопасности от любого внимания.

Мы с коллегой тоже обновляемся и каждый раз гадаем, что вылетит на этот раз. Шифрование, переключение динамика на гарнитуру, разметка или просто переписка. Зачем ты обманываешь? Или ты этим не пользуешься?

anonymous
()
Ответ на: комментарий от anonymous

Почему за 7 лет прода девелоперы не обеспечили просто стабильную работу? Чтобы через сообщение шифрование не вылетало и никто вообще не мог прочитать твой наброс?

Ты первый, от кого я слышу подобные претензии. matrix.org работает и не вылетает.

Legioner ★★★★★
()
Ответ на: комментарий от anonymous

Добавлю есчо фразу мудрого человека (бенджамина франклина) в контексте вот этого:

А те, кто ничего противозаконного не делают, слишком сильно заморачиваются.

Пожертвовавший свободой ради безопасности не заслуживает ни свободы, ни безопасности. Вариаций на тему много. Например: Продавший свободу ради удобства в конечном счете останется и без денег и без удобств. Итд.

anonymous
()
Ответ на: комментарий от Legioner

Ну да, то-то у них страничка с аптаймом и описанием текущих проблем есть. И обещаниями решить все как можно скорее. «Мы работаем над этим».

Ну это тот же разговор, в котором у тебя эппл гуглу не сливает, а у меня сливал.

anonymous
()
Ответ на: комментарий от Legioner

Ты первый, от кого я слышу подобные претензии. matrix.org работает и не вылетает.

Хм, другие коллеги говорят наоборот: ну тыж понимаешь, что матрикс.орг очень нагружен (причем тут питон какбе), ставь свой сервак, будет супер111 а посмотрите для интереса ман по деплою этого нех. Это полнейший ппц! Абсолютнейший111 И дело даже не только в стиле изложения материала…

anonymous
()
Ответ на: комментарий от Legioner

Я использую это гуаноповседневно полтора года. Да, крайние дней 20 оно работает. А вот дня 24 назад все падало, внезапно и без апдейта клиента даже. И так и по всякому было много раз. Или страничка статуса там просто так есть? Или ты считаешь, что 2 недели без проблем для достаточно масштабного проекта - это достижение?

Почему такого нет в древнем как говно мамонта жаббере?

Парни, для меня в хайлоад пооекте 2 недели без падений - это не достижение. Это позор. Вот лично для меня.

anonymous
()
Ответ на: комментарий от cocucka

Соряй. Не доверяю тем, кто эту шайтан коробку собирал. Тем более тут речь какбе о пгайваси секурном продукте11!

anonymous
()
Ответ на: комментарий от anonymous

Не доверяю

Да чего ты, как не свой! Всё там секурно, человек на зарплатах АНБ, ФСБ, МИ-6 писал.

anonymous
()
Ответ на: комментарий от cocucka

Ты знаешь, «мамонтс щит» от хмпп до сих пор не подводил. Годится.

А вот шматрикс, как и умняшни питоновые на хайлоаде, не нужны. Пруфы как бе в сабже.

anonymous
()
Ответ на: комментарий от anonymous

а в XMPP уязвимостей не находили чтоль? Да и емнип там Е2Е шифрование сбоку прикручивается и не факт, что не содержит логических уязвимостей. Его же никто не аудировал.

cocucka ★★★★☆
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.