Komunikační protokol Matrix používá řada aplikací. Nyní vývojáři varují před nebezpečnou chybou, která se týká následujících služeb:
– Element (web, desktop, Android; iOS se to netýká)
– FluffyChat
– Nheko
– Cinny
– SchildiChat
Zranitelnosti s označením CVE-2021-40823 a CVE-2021-40824 se týkají funkce sdílení klíčů. Klíče se mimo jiné používají ke zobrazení starých zpráv novým klientům ve skupinovém chatu. Píše o tom server Matrix.org ve svém příspěvku s názvem "Disclosing CVE-2021-40823 and CVE-2021-40824: E2EE vulnerability in multiple Matrix clients".
Zranitelnost Messengeru: podle vývojářů Matrixu zatím nebyla zneužita
Podle vývojářů prozatím nedošlo prostřednictvím této zranitelnosti k žádnému útoku. Určitě by k tomu ale bylo možné zneužít kompromitovaný účet. Pokud jsou klíče distribuovány bez kontroly identity zařízení, může je útočník snadno přečíst. Vývojáři proto doporučují, aby klíč automaticky dostávala pouze ověřená zařízení téhož uživatele. U ostatních zařízení je třeba provést dodatečnou kontrolu.
Bezpečnostní zranitelnost tedy není způsobena chybou v protokolu Matrix, ale implementaci funkce sdílení klíčů, kterou je třeba vylepšit. Vývojáři nyní chtějí ověřit, zda je funkce nadále potřebná. Pokud se ukáže, že nikoliv, odstraní ji.
video
