Bezpečnostní zranitelnost ohrožuje několik komunikačních programů: jak se mohou uživatelé chránit

16.09.2021 17:00 | Jiří Palyza + Přidat komentář

Bezpečnostní zranitelnost ohrožuje několik komunikačních programů: jak se mohou uživatelé chránit | foto: Adem AY/Unsplash

V některých komunikačních službách, které využívají protokol Matrix, byla objevena bezpečnostní chyba v end-to-end šifrování. Útočníci ji mohou zneužít k nepozorovanému čtení zpráv.

Komunikační protokol Matrix používá řada aplikací. Nyní vývojáři varují před nebezpečnou chybou, která se týká následujících služeb:

– Element (web, desktop, Android; iOS se to netýká)
– FluffyChat
– Nheko
– Cinny
– SchildiChat

Zranitelnosti s označením CVE-2021-40823 a CVE-2021-40824 se týkají funkce sdílení klíčů. Klíče se mimo jiné používají ke zobrazení starých zpráv novým klientům ve skupinovém chatu. Píše o tom server Matrix.org ve svém příspěvku s názvem "Disclosing CVE-2021-40823 and CVE-2021-40824: E2EE vulnerability in multiple Matrix clients".

Zranitelnost Messengeru: podle vývojářů Matrixu zatím nebyla zneužita

Podle vývojářů prozatím nedošlo prostřednictvím této zranitelnosti k žádnému útoku. Určitě by k tomu ale bylo možné zneužít kompromitovaný účet. Pokud jsou klíče distribuovány bez kontroly identity zařízení, může je útočník snadno přečíst. Vývojáři proto doporučují, aby klíč automaticky dostávala pouze ověřená zařízení téhož uživatele. U ostatních zařízení je třeba provést dodatečnou kontrolu.

Bezpečnostní zranitelnost tedy není způsobena chybou v protokolu Matrix, ale implementaci funkce sdílení klíčů, kterou je třeba vylepšit. Vývojáři nyní chtějí ověřit, zda je funkce nadále potřebná. Pokud se ukáže, že nikoliv, odstraní ji.

mohlo by vás také zajímat: pět opatření proti hackerům – jak si zachovat vyšší bezpečnost