Een kritieke kwetsbaarheid in verschillende clients van het versleutelde chatplatform Matrix maakt het mogelijk voor een aanvaller om end-to-end versleutelde berichten te ontsleutelen. Door de kwetsbaarheid kan een aanvaller in bepaalde gevallen encryptiesleutels bemachtigen en daarmee eerder verstuurde versleutelde berichten te lezen.

Het probleem wordt veroorzaakt door een logische fout in de room key sharing functionaliteit van Matrix. Deze feature zorgt ervoor dat een Matrix-client die de encryptiesleutels mist voor het ontsleutelen van een verstuurd bericht die sleutels aan de afzender kan vragen. Bij dit verzoekt blijkt dat de identiteit van de aanvrager niet goed wordt gecontroleerd. Hierdoor is het mogelijk om via een gecompromitteerd account het apparaat te imiteren dat de encryptiesleutels vraagt.

Volgens Matrix zou een aanvaller naast het bemachtigen van de encryptiesleutels ook het account van de ontvanger van de berichten moeten compromitteren. Vervolgens is het mogelijk om de eerder verstuurde versleutelde berichten te lezen.

De Matrix-ontwikkelaars benadrukken dat het hier niet om een kwetsbaarheid in het Matrix-protocol gaat, maar een lek in de implementatie. Gebruikers wordt dan ook aangeraden om hun clients te updaten. 

Alles bij de bron; Security


 


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha