Разработчики платформы децентрализованных коммуникаций Matrix предупредили о выявлении критических уязвимостей в библиотеках matrix-js-sdk, matrix-ios-sdk и matrix-android-sdk2, позволяющих администраторам серверов выдавать себя за других пользователей и читать сообщения в чатах со сквозным шифрованием (E2EE). Уязвимости вызваны ошибками в отдельных реализациях протокола Matrix и не являются проблемами самого протокола. В настоящее время, проектом выпущены обновления проблемных SDK и части построенных на их основе клиентских приложений.Для успешного совершения атаки требуется обращение к подконтрольному атакующим домашнему серверу (homeserver - сервер для хранения истории и учётных записей клиентов). Применение сквозного шифрования на стороне клиента не позволяет администратору сервера вклиниваться в обмен сообщениями, но выявленные уязвимости дают возможность обойти данную защиту. Проблемы затрагивают основной Matrix-клиент Element (бывший Riot) для Web, настольных систем, iOS и Android, а также сторонние клиентские приложения, включая Cinny, Beeper, SchildiChat, Circuli и Synod.im. Уязвимости не проявляются в библиотеках matrix-rust-sdk, hydrogen-sdk, Matrix Dart SDK, mautrix-python, mautrix-go и matrix-nio, а также в приложениях Hydrogen, ElementX, Nheko, FluffyChat, Syphon, Timmy, Gomuks и Pantalaimon.
https://www.opennet.ru/opennews/art.shtml?num=57844

#matrix #решето