Se han reparado vulnerabilidades graves en el cifrado de extremo a extremo de Matrix

Se han reparado vulnerabilidades graves en el cifrado de extremo a extremo de Matrix

matriz.org

Los desarrolladores del protocolo de mensajería Matrix de código abierto publicaron una actualización el miércoles para corregir las vulnerabilidades críticas de cifrado de extremo a extremo que subvierten las garantías de confidencialidad y autenticación que han sido clave para el ascenso meteórico de la plataforma.

Matrix es un ecosistema en expansión de clientes y servidores de chat y colaboración de código abierto y propietarios que son totalmente interoperables. La aplicación más conocida de esta familia es Element, un cliente de chat para Windows, macOS, iOS y Android, pero también hay una gran variedad de otros miembros.

Hodgson

Matrix tiene como objetivo hacer para la comunicación en tiempo real lo que el estándar SMTP hace para el correo electrónico, que consiste en proporcionar un protocolo federado que permite a los usuarios clientes conectados a diferentes servidores intercambiar mensajes entre sí. Sin embargo, a diferencia de SMTP, Matrix ofrece un sólido cifrado de extremo a extremo, o E2EE, diseñado para garantizar que los mensajes no puedan falsificarse y que solo los remitentes y los receptores de los mensajes puedan leer el contenido.

Matthew Hodgson, cofundador y líder de proyecto de Matrix y CEO y CTO de Element, el fabricante de la aplicación insignia de Element, dijo en un correo electrónico que, según estimaciones conservadoras, hay alrededor de 69 millones de cuentas de Matrix repartidas en unos 100 000 servidores. La compañía actualmente ve alrededor de 2,5 millones de usuarios activos mensuales que utilizan su servidor Matrix.org, aunque dijo que es probable que esto también sea una subestimación. Entre los cientos de organizaciones que anuncian planes para construir sistemas de mensajería internos basados ​​en Matrix se encuentran Mozilla, KDE y los gobiernos de Francia y Alemania.

El miércoles, un equipo de investigadores investigación publicada que informa una serie de vulnerabilidades que socavan las garantías de autenticación y confidencialidad de Matrix. Todos los ataques descritos por los investigadores requieren la ayuda de un servidor doméstico malicioso o comprometido que se dirige a los usuarios que se conectan a él. En algunos casos, hay formas para que los usuarios experimentados detecten que se está produciendo un ataque.

Los investigadores informaron en privado las vulnerabilidades a Matrix a principios de este año y acordaron una divulgación coordinada programada para el lanzamiento del miércoles por parte de Matrix de las actualizaciones que abordan las fallas más graves.

“Nuestros ataques permiten que un operador de servidor malicioso o alguien que obtenga el control de un servidor Matrix lea los mensajes de los usuarios y se haga pasar por ellos”, escribieron los investigadores en un correo electrónico. “Matrix tiene como objetivo protegerse contra tal comportamiento al proporcionar cifrado de extremo a extremo, pero nuestros ataques resaltan fallas en el diseño de su protocolo y su Elemento de implementación de cliente insignia”.

Hodgson dijo que no está de acuerdo con la afirmación de los investigadores de que algunas de las vulnerabilidades residen en el propio protocolo de Matrix y afirma que todas son errores de implementación en la primera generación de aplicaciones de Matrix, que incluyen a Element. Dijo que una generación más nueva de aplicaciones Matrix, incluidas ElementX, Hydrogen y Third Room, no se ven afectadas. No hay indicios de que las vulnerabilidades hayan sido alguna vez explotadas activamente, agregó.

Leave a Reply

Your email address will not be published. Required fields are marked *