Matrix’in uçtan uca şifrelemesindeki ciddi güvenlik açıkları düzeltildi


Matrix'in uçtan uca şifrelemesindeki ciddi güvenlik açıkları düzeltildi

matrix.org

Açık kaynaklı Matrix messenger protokolünün geliştiricileri, platformun hızlı yükselişinin anahtarı olan gizlilik ve kimlik doğrulama garantilerini bozan kritik uçtan uca şifreleme güvenlik açıklarını düzeltmek için Çarşamba günü bir güncelleme yayınladı.

Matrix, tamamen birlikte çalışabilir olan açık kaynak ve tescilli sohbet ve işbirliği istemcileri ve sunucularından oluşan genişleyen bir ekosistemdir. Bu ailedeki en iyi bilinen uygulama, Windows, macOS, iOS ve Android için bir sohbet istemcisi olan Element’tir, ancak baş döndürücü bir dizi başka üye de vardır.

Hodgson

Matrix kabaca gerçek zamanlı iletişim için ne yapmayı amaçlar? SMTP standardı farklı sunuculara bağlı kullanıcı istemcilerinin birbirleriyle mesaj alışverişinde bulunmalarına izin veren birleşik bir protokol sağlayan e-posta için yapar. Bununla birlikte, SMTP’den farklı olarak Matrix, mesajların sızdırılmamasını ve yalnızca mesajların göndericileri ve alıcılarının içeriği okuyabilmesini sağlamak için tasarlanmış güçlü uçtan uca şifreleme veya E2EE sunar.

Matrix’in kurucu ortağı ve proje lideri ve amiral gemisi Element uygulamasının yapımcısı Element CEO’su ve CTO’su Matthew Hodgson, bir e-postada muhafazakar tahminlere göre yaklaşık 100.000 sunucuya yayılmış yaklaşık 69 milyon Matrix hesabı olduğunu söyledi. Şirket şu anda Matrix.org sunucusunu kullanan aylık yaklaşık 2,5 milyon aktif kullanıcı görüyor, ancak bunun da muhtemelen hafife alındığını söyledi. Matrix tabanlı dahili mesajlaşma sistemleri oluşturma planlarını açıklayan yüzlerce kuruluş arasında Mozilla, KDE ve Fransa ve Almanya hükümetleri yer alıyor.

Çarşamba günü, bir araştırma ekibi yayınlanmış araştırma bu, Matrix’in kimlik doğrulama ve gizlilik garantilerini baltalayan bir dizi güvenlik açığı bildiriyor. Araştırmacılar tarafından açıklanan tüm saldırılar, kendisine bağlanan kullanıcıları hedefleyen kötü niyetli veya güvenliği ihlal edilmiş bir ev sunucusunun yardımını gerektirir. Bazı durumlarda, deneyimli kullanıcıların devam eden bir saldırıyı algılamasının yolları vardır.

Araştırmacılar, bu yılın başlarında güvenlik açıklarını özel olarak Matrix’e bildirdiler ve Matrix’in en ciddi kusurları ele alan güncellemelerin Çarşamba günkü yayınına kadar koordineli bir açıklama yapmayı kabul ettiler.

Araştırmacılar bir e-postada, “Saldırılarımız, kötü niyetli bir sunucu operatörünün veya bir Matrix sunucusunun kontrolünü ele geçiren birinin, kullanıcıların mesajlarını okumasına ve birbirlerinin kimliğine bürünmesine izin veriyor” diye yazdı. “Matrix, uçtan uca şifreleme sağlayarak bu tür davranışlara karşı koruma sağlamayı amaçlıyor, ancak saldırılarımız protokol tasarımındaki ve amiral gemisi istemci uygulama Öğesindeki kusurları vurguluyor.”

Hodgson, araştırmacıların bazı güvenlik açıklarının Matrix protokolünün kendisinde bulunduğuna dair iddiasına katılmadığını ve bunların hepsinin Element’i içeren ilk nesil Matrix uygulamalarında uygulama hataları olduğunu iddia ettiğini söyledi. ElementX, Hydrogen ve Third Room dahil olmak üzere yeni nesil Matrix uygulamalarının etkilenmediğini söyledi. Güvenlik açıklarının aktif olarak istismar edildiğine dair hiçbir belirti olmadığını da sözlerine ekledi.


Kaynak : https://arstechnica.com/?p=1885111

Yorum yapın