ANTICHAT

ANTICHAT (https://forum.antichat.io/index.php)
-   Мировые новости. Обсуждения. (https://forum.antichat.io/forumdisplay.php?f=23)
-   -   Уязвимости в клиентах Matrix, позволяющие раскрыть ключи сквозного шифрования (https://forum.antichat.io/showthread.php?t=484957)

Suicide 14.09.2021 22:16

В большинстве клиентских приложений для платформы децентрализованных коммуникаций Matrix выявлены уязвимости (CVE-2021-40823, CVE-2021-40824), позволяющие получить сведения о ключах, использованных для передачи сообщений в чатах со сквозным шифрованием (E2EE). Атакующий, скомпрометировав одного из пользователей чата, может расшифровать сообщения, ранее отправленные этому пользователю из уязвимых клиентских приложений.

Для успешной эксплуатации требуется наличие доступа к учётной записи получателя сообщений. Доступ может быть получен как через утечку параметров учётной записи, так и через взлом Matrix-сервера, через который подключается пользователь. Наибольшую опасность уязвимости представляют для пользователей шифрованных чат-комнат, к которым подключены Matrix-серверы, подконтрольные злоумышленникам. Администраторы подобных серверов могут попытаться выдать себя за пользователей сервера для перехвата сообщений отправляемых в чат с уязвимых клиентских приложений.

Уязвимости вызваны логическим ошибками в реализациях механизма предоставления повторного доступа к ключам, предложенных в matrix-js-sdk


Время: 03:39