geliştiricileri açık kaynaklı Matrix messenger protokolü, platformun hızlı yükselişinin anahtarı olan gizlilik ve kimlik doğrulama garantilerini alt üst eden kritik uçtan uca şifreleme güvenlik açıklarını düzeltmek için bir güncelleme yayınlıyor.
Matrix, tamamen birlikte çalışabilir olan açık kaynak ve tescilli sohbet ve işbirliği istemcileri ve sunucularından oluşan genişleyen bir ekosistemdir. Bu ailedeki en iyi bilinen uygulama, Windows, macOS, iOS ve Android için bir sohbet istemcisi olan Element’tir, ancak baş döndürücü bir dizi başka üye de vardır.
Matrix, kabaca gerçek zamanlı iletişim için, SMTP standardının e-posta için yaptığını yapmayı amaçlar; bu, farklı sunuculara bağlı kullanıcı istemcilerinin birbirleriyle mesaj alışverişinde bulunmalarına izin veren birleşik bir protokol sağlamaktır. Bununla birlikte, SMTP’den farklı olarak Matrix, mesajların sızdırılmamasını ve yalnızca mesajların göndericileri ve alıcılarının içeriği okuyabilmesini sağlamak için tasarlanmış güçlü uçtan uca şifreleme veya E2EE sunar.
Matrix’in kurucu ortağı ve proje lideri ve amiral gemisi Element uygulamasının yapımcısı Element CEO’su ve CTO’su Matthew Hodgson, bir e-postada, muhafazakar tahminlerin 100.000 sunucuya yayılmış yaklaşık 69 milyon Matrix hesabı olduğunu söyledi. Şirket şu anda Matrix.org sunucusunu kullanan aylık yaklaşık 2,5 milyon aktif kullanıcı görüyor, ancak bunun da muhtemelen hafife alındığını söyledi. Matrix tabanlı dahili mesajlaşma sistemleri oluşturma planlarını açıklayan yüzlerce kuruluş arasında Mozilla, KDE ve Fransa ve Almanya hükümetleri yer alıyor.
Çarşamba günü, bir ekip Matrix’in kimlik doğrulama ve gizlilik garantilerini baltalayan bir dizi güvenlik açığını bildiren bir araştırma yayınladı. Araştırmacılar tarafından açıklanan tüm saldırılar, kendisine bağlanan kullanıcıları hedefleyen kötü niyetli veya güvenliği ihlal edilmiş bir ev sunucusunun yardımını gerektirir. Bazı durumlarda, deneyimli kullanıcıların bir saldırının devam ettiğini algılamasının yolları vardır.
Araştırmacılar, bu yılın başlarında güvenlik açıklarını özel olarak Matrix’e bildirdiler ve Matrix’in en ciddi kusurları ele alan güncellemelerin Çarşamba günkü yayınına kadar koordineli bir açıklama yapmayı kabul ettiler.
Araştırmacılar bir e-postada, “Saldırılarımız, kötü niyetli bir sunucu operatörünün veya bir Matrix sunucusunun kontrolünü ele geçiren birinin, kullanıcıların mesajlarını okumasına ve birbirlerinin kimliğine bürünmesine izin veriyor” diye yazdı. “Matrix, uçtan uca şifreleme sağlayarak bu tür davranışlara karşı koruma sağlamayı amaçlıyor, ancak saldırılarımız protokol tasarımındaki ve amiral gemisi istemci uygulama Öğesindeki kusurları vurguluyor.”
Hodgson, araştırmacıların bazı güvenlik açıklarının Matrix protokolünün kendisinde bulunduğuna dair iddiasına katılmadığını ve bunların hepsinin Element’i içeren ilk nesil Matrix uygulamalarında uygulama hataları olduğunu iddia ettiğini söyledi. ElementX, Hydrogen ve Third Room dahil olmak üzere yeni nesil Matrix uygulamalarının etkilenmediğini söyledi. Güvenlik açıklarının aktif olarak istismar edildiğine dair hiçbir belirti olmadığını da sözlerine ekledi.
Gizliliği Bozmak, Doğrulamaya Saldırmak ve Daha Fazlası
İlk iki saldırı, ev sunucusunun özel bir odaya katılmasına izin verilen kullanıcılar ve cihazlar üzerindeki denetiminden yararlanarak basit bir gizlilik kesintisi sağlar. Yalnızca oda oluşturan veya oda yaratıcısı tarafından yetkilendirilen bir kişinin yeni üyeler davet etmesine ve kabul etmesine izin verilir, ancak bu mekanizmayı mümkün kılan oda yönetimi mesajlarının bu yetkili kullanıcıların kriptografik anahtarları ile doğrulanması gerekli değildir. Ev sunucusunun denetimine sahip birinin bu tür iletileri taklit etmesi ve oradan yetkili kullanıcıların izni olmadan kullanıcıları kabul etmesi önemsizdir. Bir kez kabul edildiğinde, saldırgan o odaya gönderilen şifresi çözülmüş iletişimlere erişim kazanır.
Araştırmacılar, odaya yeni giren tüm kişilerin bir etkinlik zaman çizelgesine otomatik olarak kaydedildiğini ve bu nedenle, odadaki üyelik listesini gerçek zamanlı olarak manuel olarak inceleyen herhangi biri tarafından tespit edilebileceğini belirtmekte dikkatlidir. Araştırmacılar, çok fazla aktiviteye sahip geniş odalarda bu tür bir incelemenin pratik olmayabileceğini söyledi.