Communicatieplatform Matrix heeft updates uitgebracht voor twee kritieke kwetsbaarheden in de implementatie van end-to-end encryptie in de software development kits (SDK's) van chatapps zoals Element, Beeper, Cinny, SchildiChat, Circuli en Synod.im. Gebruikers van deze chatapps worden opgeroepen om de beschikbaar gemaakte beveiligingsupdates te installeren en daarna pas de verificatie met nieuwe apparaten uit te voeren.
Matrix is een protocol en platform dat versleutelde communicatie biedt. Onderzoekers van de University of London, University of Sheffield en Brave Software besloten de software te onderzoeken en ontdekten naar eigen zeggen verschillende praktisch te misbruiken cryptografische kwetsbaarheden in de end-to-end encryptie van Matrix. Het gaat hierbij niet om beveiligingslekken in het protocol zelf, maar in de implementatie daarvan.
Via de kritieke beveiligingslekken zijn verschillende aanvallen uit te voeren. Misbruik van de kritieke kwetsbaarheden is echter alleen mogelijk via een malafide homeserver waarmee gebruikers verbinding maken. In het eerste aanvalsscenario kan een malafide homeserver gebruikers toevoegen aan end-to-end versleutelde chatrooms. Zodra de gebruiker is toegevoegd kan de homeserver alle toekomstige berichten die naar de chatroom worden verstuurd ontsleutelen.
Bij het tweede aanvalsscenario kan een malafide homeserver een apparaat waar het de controle over heeft aan het account van een andere, af te luisteren gebruiker in de chatroom toevoegen. Alle gebruikers in de chatroom zullen zien dat dit een 'ongeverifieerd' apparaat is. Bestaande apparaten zullen hun inkomende sessies met dit nieuwe apparaat delen, wat decryptie van toekomstige berichten die naar de chatroom worden verstuurd mogelijk maakt.
Een derde aanval maakt het mogelijk voor de beheerder van een malafide homeserver om een malafide key back-up aan het account van gebruikers toe te voegen om zo keys van deze gebruikers te stelen. Matrix stelt dat het niet met aanvallen bekend is die misbruik van de genoemde kwetsbaarheden maken, maar adviseert gebruikers om de instellingen van hun key back-ups te controleren. Wie zich zorgen maakt kan zijn online key back-up resetten. Matrix maakt verder excuses aan de community voor het ongemak en de verstoring die de kwetsbaarheden veroorzaakten.
Deze posting is gelocked. Reageren is niet meer mogelijk.