Die Entwickler des Kommunikationsprotokolls Matrix warnen vor zwei "kritischen" Sicherheitslücken, die die Ende-zu-Ende-Verschlüsselung von mit einigen auf Matrix basierenden Messengern verschickten Nachrichten gefährden. Sicherheitsupdates sind verfügbar. Bislang soll es keine Attacken gegeben haben. Wie aus einer Warnmeldung hervorgeht, sind konkret folgende Messenger betroffen: CinnyElement (Android, Desktop, Web). Die iOS-Version ist nicht betroffen.FluffyChatNhekoSchildiChat Verschlüsselung gefährdet Die Schwachstellen (CVE-2021-40823, CVE-2021-40824) finden sich in der Key-Sharing-Funktion zur "gemeinsamen Nutzung von Schlüsseln". Diese Funktion ist den Matrix-Entwicklern zufolge etwa nützlich, wenn ein neuer Client in einem Gruppenchat den Schlüssel zum Lesen der Nachrichten noch nicht hat. Diesen bekommt er dank der Funktion von einem anderen Gerät im Chat serviert. So kann der neue Client auch vergangene Nachrichten entschlüsseln und lesen. Das dürfe nach Vorgabe der Matrix-Entwickler aus Sicherheitsgründen aber nicht bei jeder Schlüsselanforderung durch Clients geschehen. Sie empfehlen, dass die automatische Schlüsselverteilung nur an verifizierte Geräte desselben Benutzers erfolgen sollte. Dementsprechend handelt es sich laut Aussage der Entwickler um keinen Bug im Protokoll, sondern um Schwächen bei der Implementierung. Findet die Schlüsselverteilung nämlich ohne Identitätsprüfung eines Gerätes statt, könnte sich ein Angreifer mit etwa einem kompromittierten Account einklinken und Nachrichten mitlesen. Jetzt patchen! In der Warnmeldung listen die Matrix-Entwickler neben verwundbaren Clients und SDKs auch gepatchte Version und nach jetzigem Kenntnisstand nicht betroffene Software auf. Die Entwickler wollen nun ihre Doku zur Implementierung der Key-Sharing-Funktion besser formulieren. Sie stellen aber auch die Funktion an sich infrage und überlegen, sie eventuell in Zukunft zu entfernen. [UPDATE 14.09.2021 16:45 Uhr] Einige Aussagen im Fließtext klarer den Entwicklern zugeordnet. (des) Zur Startseite Lücken im Matrix-Protokoll gefährden Ende-zu-Ende-Verschlüsselung von Messengern
- Details
- Heise RSS Feed
- Hauptkategorie: IT News aus aller Welt
- Kategorie: Sicherheitsinfos
Die Entwickler des Kommunikationsprotokolls Matrix warnen vor zwei "kritischen" Sicherheitslücken, die die Ende-zu-Ende-Verschlüsselung von mit einigen auf Matrix basierenden Messengern verschickten Nachrichten gefährden. Sicherheitsupdates sind verfügbar. Bislang soll es keine Attacken gegeben haben. Wie aus einer Warnmeldung hervorgeht, sind konkret folgende Messenger betroffen: CinnyElement (Android, Desktop, Web). Die iOS-Version ist nicht betroffen.FluffyChatNhekoSchildiChat Verschlüsselung gefährdet Die Schwachstellen (CVE-2021-40823, CVE-2021-40824) finden sich in der Key-Sharing-Funktion zur "gemeinsamen Nutzung von Schlüsseln". Diese Funktion ist den Matrix-Entwicklern zufolge etwa nützlich, wenn ein neuer Client in einem Gruppenchat den Schlüssel zum Lesen der Nachrichten noch nicht hat. Diesen bekommt er dank der Funktion von einem anderen Gerät im Chat serviert. So kann der neue Client auch vergangene Nachrichten entschlüsseln und lesen. Das dürfe nach Vorgabe der Matrix-Entwickler aus Sicherheitsgründen aber nicht bei jeder Schlüsselanforderung durch Clients geschehen. Sie empfehlen, dass die automatische Schlüsselverteilung nur an verifizierte Geräte desselben Benutzers erfolgen sollte. Dementsprechend handelt es sich laut Aussage der Entwickler um keinen Bug im Protokoll, sondern um Schwächen bei der Implementierung. Findet die Schlüsselverteilung nämlich ohne Identitätsprüfung eines Gerätes statt, könnte sich ein Angreifer mit etwa einem kompromittierten Account einklinken und Nachrichten mitlesen. Jetzt patchen! In der Warnmeldung listen die Matrix-Entwickler neben verwundbaren Clients und SDKs auch gepatchte Version und nach jetzigem Kenntnisstand nicht betroffene Software auf. Die Entwickler wollen nun ihre Doku zur Implementierung der Key-Sharing-Funktion besser formulieren. Sie stellen aber auch die Funktion an sich infrage und überlegen, sie eventuell in Zukunft zu entfernen. [UPDATE 14.09.2021 16:45 Uhr] Einige Aussagen im Fließtext klarer den Entwicklern zugeordnet. (des) Zur Startseite - Zugriffe: 83