Chat-Clients: Lücken im Matrix-SDK gefährden Ende-zu-Ende-Verschlüsselung
Aufgrund von zwei kritischen Schwachstellen ist das Versenden von verschlüsselten Nachrichten mit verschiedenen Messengern gefährdet.
In das Software Development Kit (SDK) des Matrix-Chat-Protokolls haben sich mehrere Fehler eingeschlichen, die damit erstellte Chat-Clients verwundbar machen. Unter anderem soll die Ende-zu-Ende-Verschlüsselung durch zwei als „kritisch“ eingestufte Sicherheitslücken gefährdet sein. Sicherheitsupdates sind verfügbar. Attacken soll es bislang nicht gegeben haben.
Viele Clients bereits abgesichert
Aus einer Warnmeldung geht hervor, dass unter anderem die mit dem verwundbaren SDK (matrix-js-sdk, matrix-andorid-sdk2) erstellen Messenger Beeper, Cinny, Circuli, Element, SchildiChat und Synod.im bedroht sind.
Die Matrix-Entwickler betonen, dass es sich bei den kritischen Lücken um Implementierungsfehler und keine Bugs im Matrix-Protokoll handelt. Die Fehler sollen nur in der ersten Generation des SDKs vorkommen. Clients wie FluffyChat, Hydrogen und Gomuks seien von den Schwachstellen nicht betroffen. Für Thunderbird ist bereits ein Sicherheitsupdate verfügbar. Der Mailclient unterstützt das Matrix-Protokoll als Option seit der Version 102.
Attacken nicht ohne Weiteres möglich
Um an den Lücken ansetzen zu können, müssen Angreifer aber bereits Server-Admins sein. Ist das der Fall, könnten sie unter anderem bei der Authentifizierung von Geräten ansetzen und sich statt des Gerätes authentifizieren (CVE-2022-39250). Außerdem könnten sie Absender von verschlüsselten Nachrichten fälschen oder Nachrichten-Schlüssel abgreifen (CVE-2022-39251).
Weiterführende Informationen zu den Sicherheitslücken und möglichen Attacken führen Sicherheitsforscher der University of London und University of Sheffield in einem Bericht aus.
(des)