image

Kritiek lek in Matrix-clients maakt decryptie versleutelde berichten mogelijk

woensdag 15 september 2021, 10:39 door Redactie, 0 reacties

Een kritieke kwetsbaarheid in verschillende clients van het versleutelde chatplatform Matrix maakt het mogelijk voor een aanvaller om end-to-end versleutelde berichten te ontsleutelen. Door de kwetsbaarheid kan een aanvaller in bepaalde gevallen encryptiesleutels bemachtigen en daarmee eerder verstuurde versleutelde berichten te lezen.

Het probleem wordt veroorzaakt door een logische fout in de room key sharing functionaliteit van Matrix. Deze feature zorgt ervoor dat een Matrix-client die de encryptiesleutels mist voor het ontsleutelen van een verstuurd bericht die sleutels aan de afzender kan vragen. Bij dit verzoekt blijkt dat de identiteit van de aanvrager niet goed wordt gecontroleerd. Hierdoor is het mogelijk om via een gecompromitteerd account het apparaat te imiteren dat de encryptiesleutels vraagt.

Wanneer gebruikers zich in een versleutelde chatroom met een malafide homeserver bevinden, kan de beheerder van deze server zich als de gebruikers in de chatroom voordoen om vervolgens berichten te lezen die door gebruikers in de chatroom zijn verstuurd. Volgens Matrix zou een aanvaller naast het bemachtigen van de encryptiesleutels ook het account van de ontvanger van de berichten moeten compromitteren. Vervolgens is het mogelijk om de eerder verstuurde versleutelde berichten te lezen.

De Matrix-ontwikkelaars benadrukken dat het hier niet om een kwetsbaarheid in het Matrix-protocol gaat, maar een lek in de implementatie. Gebruikers wordt dan ook aangeraden om hun clients te updaten. Het gaat onder andere om Element (Web/Desktop/Android), FluffyChat, Nheko, Cinny en SchildiChat.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.