Перевод статьи про Matrix

Июль 5, 2023 - Время чтения: 50 минуты

материал с сайта hackea.org

Вступление

МATRIX продолжает расти. Даже французское правительство решило использовать ее. Однако многие активисты свободного программного обеспечения отказываются ее использовать.

Что бы вы подумали, если бы обнаружили, что новое программное обеспечение для обмена сообщениями, претендующее на децентрализацию, отправляет множество ваших личных данных и метаданных на свои центральные серверы, несмотря на то, что вы установили свой собственный экземпляр?

Программное обеспечение должно быть бесплатным, но этого недостаточно. Это история о том, как власти и шумихе удалось внедрить опасное программное обеспечение во многие сообщества свободного программного обеспечения.

Тревожная история (или, может быть, просто FUD)

XMPP и многие другие технологии уже существовали. Однако появилось новое программное обеспечение: MatrixЕе целью было создать новую «экосистему» обмена мгновенными сообщениями и VoIP, в которой взаимодействовали бы различные приложения и сервисы. Они также утверждали, что могут создавать «полностью распределенные чаты без единой точки контроля» и управлять ими.

Это было повсюду, люди начали говорить об этом, как будто они приносили что-то действительно хорошее.

Matrix - это не программное обеспечение для сообщества, оно родилось [00] в Amdocs [01], многонациональной корпорации, основанной в Израиле.

В Интернете мы находим много фрагментов информации, связывающей Amdocs с израильской разведкой [02][03][04]. Мы не знаем, связано ли это с тем, что они хотели стереть свое изображение, но предположительно Amdocs больше не владеет проектом. Для Matrix была создана новая организация, New VectorТем не менее, там работают те же люди [05], и проект продолжает щедро финансироваться [06].

Мы серьезно не расследовали эти тревожные фрагменты информации, поэтому давайте рассматривать их как фальшивку и не будем задаваться вопросом, должно ли программное обеспечение Matrix иметь право [07] на кампанию бойкота, изъятия инвестиций и санкций или нет. Давайте просто сосредоточимся на фактах анализа программного обеспечения.

Проблемы со свободой

Riot, клиент Matrix, был создан с помощью Electron. Electron не считался Фондом свободного программного обеспечения свободным программным обеспечениемВ настоящее время Electron [08] включен в оценочный список Фонда свободного программного обеспечения [09].

Мы не проводили дальнейших исследований, поэтому давайте считать, что проблемы свободы вообще нет, и мы имеем дело только с полностью свободным программным обеспечением.

Децентрализация через централизацию

Matrix выступила с планом объединения всех существующих сетей обмена мгновенными сообщениями и VoIP через то, что они называют мостами [10], которые можно рассматривать как центр централизации, где можно анализировать метаданные, а также подходящее место для проведения атак "Человек посередине"

Кто-то может сказать, что объединение всего может быть законной целью. Тем не менее, некоторые люди начали сообщать об огромных объемах данных и метаданных, отправляемых на центральные серверы Matrix.

Решение Disroot

В сентябре 2018 года Disroot решили закрыть свой сервис Matrix [11] и вернуться к XMPP. Они привели несколько причин, главная из которых: конфиденциальность.

Смотреть в лицо реальным и ясным фактам

В 2019 году сообщество Grid protocol опубликовало свои Заметки о конфиденциальности и сборе данных Matrix.org [12], документ, который помогает нам оценить масштабы проблемы:

Эта исследовательская работа основана на многолетнем опыте работы в экосистеме Matrix и проверке фактов посредством публичного и частного общения. Для обеспечения точности некоторых утверждений, представленных в качестве фактов относительно реализаций, был использован обратный инжиниринг.

Краткое изложение замечаний по конфиденциальности и сбору данных Matrix.org 

matrix.org и vector.im регулярно получайте множество личных и идентифицируемых данных или метаданных, которые могут быть использованы для точной идентификации и / или отслеживания пользователей / сервера, их социальной сети, характера использования и потенциального местоположения. Это возможно как из-за значений конфигурации по умолчанию в synapse / Riot, которые не способствуют конфиденциальности, так и из-за конкретных решений, принятых их разработчиками, не разглашать, не информировать пользователей или своевременно устранять некоторые известные варианты поведения программного обеспечения.

Данные, отправляемые на потенциальной регулярной основе при обычном использовании Интернета / настольного компьютера + смартфона, даже при использовании автономного клиента и домашнего сервера:

  • Идентификатор матрицы пользователей, обычно включающий их имя пользователя.

  • Адреса электронной почты, номера телефонов пользователей и их контакты.

  • Ассоциации электронной почты, телефонных номеров с идентификаторами матрицы.

  • Шаблоны использования пользователя.

  • IP-адрес пользователя, который может дать более или менее точную информацию о географическом местоположении.

  • Устройства пользователя и системная информация.

  • Другие серверы, с которыми общаются пользователи.

  • Идентификаторы комнат, потенциально идентифицирующие пользователей прямого чата и другого пользователя / сервера.

С настройками по умолчанию они обеспечивают неограниченный, не запутанный публичный доступ к следующим потенциально личным данным / информации:

  • Идентификаторы матрицы, сопоставленные с адресами электронной почты / номерами телефонов, добавленными в настройки пользователя.

  • Каждый файл, изображение, видео, аудио, которые загружаются на домашний сервер.

  • Имя профиля и аватар пользователя.

Нет, это не Facebook, это Matrix.

На этот раз, когда такая впечатляющая коллекция личных данных отправляется на центральные серверы Matrix, даже когда вы используете свой собственный экземпляр, мы должны взглянуть фактам в лицо: что-то серьезно не так.

Пытаюсь все исправить

На той же странице отчета можно проследить за темой, в которой разработчики Matrix пытаются защититься, но их защита подробно дискредитирована автором отчета.

спустя 5 лет после создания Matrix и после 5 лет централизованного получения такого скандального количества личных данных пользователей из своего «децентрализованного» программного обеспечения, только после публикации упомянутого отчета разработчики Matrix опубликовали некоторые «улучшения конфиденциальности» [13], направленные на устранение некоторых выявленных проблем.

Мы ее не читали. Мы не думаем, что стоит тратить больше времени. Мы понимаем, что ошибки есть всегда, но никто не может утверждать, что эта ценная подборка личных данных, отправленная на их центральные серверы, была ошибкой кода. Децентрализация была в их шумихе, но их код делал обратное.

Мы можем ошибаться, но мы должны принимать решения. К счастью, есть много других честных проектов, предлагающих децентрализованные инструменты, которые заслуживают нашего внимания.

Юридические вопросы

Если вы обнаружите, что что-то неверно

Пожалуйста, дайте нам знать.

TL; DR

Мы не рекомендуем Matrix, потому что считаем неприемлемым, что программное обеспечение, широко разрекламированное как децентрализованное, выпускается с отправкой скандального сбора личных данных на их центральные серверы, даже если вы запускаете свой собственный экземпляр.

Ссылки на archive.org