Matrix Messenger


Verschlüsselung von Matrix konnte ausgehebelt werden

Eine Sicherheitslücke in den Clients und Bibliotheken des Team-Messengers Matrix ermöglicht das Mitlesen eigentlich Ende-zu-Ende-verschlüsselter Nachrichten. Betroffen sind unter anderem die Matrix-Clients Element (früher Riot) in seiner Web-, Desktop- und Android-Version sowie Fluffychat, Nheko, Cinny und Schildichat. Element unter iOS ist nicht betroffen.

Laut dem Matrix-Projekt stehen gepatchte Versionen der Clients und Bibliotheken zur Verfügung. Diese sollen umgehend eingespielt und die Clients bis dahin nicht mehr verwendet werden.

[...]

Bei der Sicherheitslücke handele es sich nicht um einen Fehler im Protokoll oder in den Spezifikationen von Matrix, sondern um einen Implementierungsfehler (CVE-2021-40823, CVE-2021-40824), der sich in mehreren unabhängigen Implementierungen wiederholt habe.

[...]

Nur unter bestimmten Bedingungen ausnutzbar

Bei der Implementierung sei [...] die Identität des Gerätes, das die gemeinsame Nutzung von Schlüsseln anfordert, nicht ausreichend überprüft worden. Ein kompromittiertes Konto könne sich daher als Gerät ausgeben, das den Schlüssel anfordert, und so die verschlüsselten Nachrichten mitlesen. Entsprechend müsse ein Angreifer die Zugangsdaten des Betroffenen oder dessen Matrix-Server (Homeserver) kontrollieren.

[...]

Bisher gebe es keine Hinweise, dass die Lücke aktiv ausgenutzt wurde.

[...]


Den Artikel Verschlüsselung von Matrix konnte ausgehebelt werden habe ich auf [Golem](www.golem.de) gefunden.

uBlock Origin, NoScript und Cookie-AutoDelete sollten eingeschaltet sein, da die Golem Seite viele externe Seiten und Dienste einbindet, sowie 16 Cookies setzt! Bei NoScript reicht es golem.de frei zu geben.
Die Browser Addons stehen sowohl für Firefox und Chrom (in den jeweiligen Varianten) zur Verfügung.


#golem #matrix #datensicherheit #ende-zu-ende-verschlüsselung #messenger #sicherheitslücke #verschlüsselung #security #yazumo

There are no comments yet.