Přejít k hlavnímu obsahu

Bezpečnostní zranitelnost ohrožuje několik komunikačních programů: jak se mohou uživatelé chránit

Jiří Palyza 16.09.2021
info ikonka
Zdroj:

V některých komunikačních službách, které využívají protokol Matrix, byla objevena bezpečnostní chyba v end-to-end šifrování. Útočníci ji mohou zneužít k nepozorovanému čtení zpráv.

Komunikační protokol Matrix používá řada aplikací. Nyní vývojáři varují před nebezpečnou chybou, která se týká následujících služeb:

– Element (web, desktop, Android; iOS se to netýká)
– FluffyChat
– Nheko
– Cinny
– SchildiChat

Zranitelnosti s označením CVE-2021-40823 a CVE-2021-40824 se týkají funkce sdílení klíčů. Klíče se mimo jiné používají ke zobrazení starých zpráv novým klientům ve skupinovém chatu. Píše o tom server Matrix.org ve svém příspěvku s názvem "Disclosing CVE-2021-40823 and CVE-2021-40824: E2EE vulnerability in multiple Matrix clients".

Zranitelnost Messengeru: podle vývojářů Matrixu zatím nebyla zneužita

Podle vývojářů prozatím nedošlo prostřednictvím této zranitelnosti k žádnému útoku. Určitě by k tomu ale bylo možné zneužít kompromitovaný účet. Pokud jsou klíče distribuovány bez kontroly identity zařízení, může je útočník snadno přečíst. Vývojáři proto doporučují, aby klíč automaticky dostávala pouze ověřená zařízení téhož uživatele. U ostatních zařízení je třeba provést dodatečnou kontrolu.

Bezpečnostní zranitelnost tedy není způsobena chybou v protokolu Matrix, ale implementaci funkce sdílení klíčů, kterou je třeba vylepšit. Vývojáři nyní chtějí ověřit, zda je funkce nadále potřebná. Pokud se ukáže, že nikoliv, odstraní ji.


Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme