Por que abandonamos o Matrix (2024)

 (forum.hackliberty.org)
1 pontos por GN⁺ 2025-12-26 | 1 comentários | Compartilhar no WhatsApp
  • Devido às limitações estruturais de segurança do protocolo Matrix e a problemas operacionais, a comunidade Hack Liberty migrou para o SimpleX
  • A exposição de metadados, o abuso de privilégios por administradores e as vulnerabilidades de criptografia comprometem gravemente a privacidade e a segurança dos usuários
  • Também são apontados como fatores de perda de confiança os dados pessoais coletados pela organização Matrix.org, a intervenção de intermediário pela Cloudflare e o fim do suporte ao navegador Tor
  • O SimpleX reforça a segurança ao transmitir mensagens sem identificadores de usuário, com roteamento onion de 2 saltos e troca de chaves com criptografia pós-quântica
  • Essa transição é apresentada como uma alternativa prática para garantir segurança e privacidade em comunidades descentralizadas

Limites dos protocolos federados

  • Redes federadas oferecem resistência à censura por meio da interação entre vários servidores, mas carregam problemas fundamentais de segurança no próprio design
    • Após mais de 2 anos operando serviços federados públicos como Matrix e Lemmy, foram confirmadas falhas estruturais comuns a todos os protocolos federados

Problemas do protocolo Matrix

Exposição de metadados

  • No Matrix, remetente da mensagem, apelido, foto de perfil, reações, confirmações de leitura e timestamps não são criptografados
    • Por conta da validação de mensagens, exigências de desempenho e falhas no desenho do protocolo, parte dessa exposição de metadados existe como limitação intencional ou falha de projeto
    • Um link de exemplo apresenta casos reais de vazamento

Ataque de administrador no meio (Admin in the Middle)

  • Um administrador de servidor malicioso pode coletar informações de usuários, reações e metadados de salas apenas consultando o banco de dados do Synapse
    • Também pode realizar ataques ativos como se passar por usuários, alterar o tópico da sala, convidar ou expulsar arbitrariamente e manipular permissões
    • Ao adicionar um novo dispositivo, também pode obter acesso a mensagens E2EE, e até configurar o sistema para que alertas ao usuário sejam ignorados

Fraquezas estruturais do protocolo

  • O Matrix funciona como um banco de dados em grafo parcialmente replicado, e são apontadas 22 vulnerabilidades principais, como:
    • eventos que não podem ser apagados, vulnerabilidade a spam, inconsistência de histórico, possibilidade de falsificação de mensagens, criptografia seletiva, inconsistência de assinaturas, criação de salas split-brain e risco de replicação de mídia ilegal
    • Inconsistências de estado entre servidores podem causar perda de privilégios administrativos ou impossibilidade de encerrar salas

Vulnerabilidades da criptografia Megolm

  • No protocolo Megolm do Matrix, foram relatadas várias vulnerabilidades criptográficas concretas
    • Há diversos cenários de ataque, como colapso de confidencialidade, ataques de verificação, impersonação confiável e ataques IND-CCA
    • Os ataques pressupõem cooperação do servidor e podem ser reproduzidos nas bibliotecas centrais do cliente Element (matrix-js-sdk etc.)

Consumo excessivo de recursos

  • O servidor Synapse exige muito CPU, memória, disco e largura de banda
    • Dependendo do número de usuários, são necessárias de 4 a 12 instâncias, e o custo operacional é excessivo

Problemas da organização Matrix.org

Coleta de dados

  • matrix.org e vector.im coletam regularmente e-mail, número de telefone, IP, informações do dispositivo, padrões de uso e IDs de salas dos usuários
    • Nas configurações padrão, informações pessoais ficam públicas, e arquivos, imagens e dados de perfil enviados podem ficar acessíveis publicamente
    • Mesmo usando um servidor próprio, dados sensíveis são enviados ao servidor central

Distribuição de material de abuso sexual infantil

  • Devido à resposta lenta da Matrix.org, dezenas de milhares de pedófilos divulgaram conteúdo ilegal
    • Por causa da impossibilidade de fechar salas, do upload de mídia não verificada e da replicação automática, material ilegal se espalha por toda a federação
    • Há alta probabilidade de cada homeserver acabar hospedando conteúdo ilegal

Intervenção de intermediário da Cloudflare

  • Foi confirmado que o tráfego TLS de matrix.org e vector.im é encerrado na Cloudflare, o que cria possibilidade de ataque man-in-the-middle

Fim do suporte ao navegador Tor

  • O cliente web Element não oferece mais suporte ao navegador Tor
    • O suporte foi encerrado sem planos de retomada, citando Firefox antigo do Tor, impossibilidade de testes e falta de recursos

Problemas relacionados ao Lemmy

  • Devido à mesma estrutura federada do Matrix, os mesmos problemas de replicação de dados, censura e responsabilidade por conteúdo ilegal também ocorrem
    • A desfederalização pode levar a uma descentralização censória, induzir pensamento de grupo (groupthink) e permitir manipulação de votos positivos e negativos, restringindo o debate livre

Migração para o SimpleX

Estrutura de comunicação sem identificadores

  • O SimpleX não usa nenhum identificador de usuário (número de telefone, e-mail, chave pública etc.)
    • Cada conversa usa endereços independentes de filas de mensagens unidirecionais para anonimizar a conexão com a outra parte
    • No futuro, a troca automática de filas deverá oferecer migração entre servidores e prevenção de rastreamento

Prevenção de spam e abuso

  • Só é possível entrar em contato compartilhando diretamente links de convite ou endereços temporários, bloqueando acessos indesejados
    • Ao mudar ou excluir endereços, é possível bloquear completamente spam

Propriedade total dos dados

  • Todos os dados do usuário são armazenados apenas no dispositivo cliente, e o servidor atua apenas como um relay temporário
    • Mesmo no tráfego entre servidores, remetente e destinatário não podem ser identificados, em uma estrutura de entrega de mensagens não rastreável

Rede operada pelos usuários

  • Qualquer pessoa pode operar seu próprio servidor SimpleX, e é possível desenvolver bots e serviços com o SDK e o protocolo aberto

Comparação com o Matrix

Item SimpleX Matrix
Criptografia Criptografia dupla + troca de chaves pós-quântica Megolm (com vulnerabilidades)
Roteamento de mensagens Roteamento onion de 2 saltos Estrutura federada, exposição de metadados
Descentralização Sem componente central Presença de nó central de bootstrap
Tratamento de mídia Criptografia local e rotação manual de filas Upload não verificado, replicação automática
Suporte ao Tor Suporta e oferece roteamento onion Suporte encerrado
Cloudflare Não usa TLS encerrado na Cloudflare

Características técnicas do SimpleX

  • Criptografia ponta a ponta baseada em Double Ratchet, troca de chaves pós-quântica e roteamento onion de 2 saltos
  • Suporte a Tor e proxy SOCKS, canais seguros com TLS 1.2/1.3 e estrutura de assinaturas com prevenção de retransmissão
  • Rede totalmente descentralizada, com integração com Flux para reforçar a proteção de metadados

Experiência do usuário e recursos adicionais

  • Chamadas de voz e vídeo com E2EE, notificações criptografadas, criptografia local de arquivos, edição de mensagens e reações, chat em grupo com economia de bateria
  • Recursos adicionais como modo anônimo, cliente de console, SDK para bots e implantação de servidor com um clique na Linode

Roteiro futuro

  • Estão previstos melhorias de estabilidade, suporte a grandes comunidades, controle deslizante de privacidade e segurança, conversas efêmeras, compartilhamento de localização e regras de automação

Conclusão: A Hack Liberty está migrando para uma rede totalmente voltada à privacidade baseada no SimpleX devido às falhas estruturais de segurança do Matrix e à falta de confiança na sua operação. O SimpleX é apresentado como uma plataforma comunitária segura de próxima geração por meio de comunicação sem identificadores, criptografia forte e arquitetura descentralizada.

Leituras relacionadas

1 comentários

 
GN⁺ 2025-12-26
Comentários do Hacker News

  • Eu realmente queria que o Matrix desse certo, mas agora desisti de vez.
    O sistema de resolução de estado (state resolution) é complexo demais e consome recursos demais. Salas ainda continuam quebrando. Até algo tão simples quanto calcular a lista de membros de uma sala é ineficiente a ponto de ocupar vários GB no banco de dados.
    Além disso, mesmo depois de anos, ainda faltam recursos básicos como emojis personalizados, status de usuário e links de convite.
    Issues relacionadas: #339, #573, #426
    Hoje em dia acho o SimpleX interessante, porque parece mirar num objetivo parecido com o do Signal, mas com uma abordagem diferente. Só que ainda não parece ter ganhado adoção em massa

    • Eu também queria que o Matrix desse certo, mas estou meio resignado. Antes eu operava meu próprio homeserver com o Synapse, e o consumo de recursos era absurdo. Então voltei para o XMPP. Se a ideia é oferecer só chat, o XMPP é muito mais eficiente. Pretendo esperar o SimpleX amadurecer mais um pouco
    • O problema de resolução de estado melhorou bastante desde o Project Hydra. O problema de tamanho do banco é por causa da ineficiência de armazenamento do Synapse. Eu mostrei como resolver neste vídeo, mas a prioridade era corrigir os resets de estado.
      Recursos como emojis personalizados e status de usuário já têm propostas MSC e estão em implementação. Desde 2023, por falta de verba, o foco do desenvolvimento foi mais em projetos governamentais para garantir a sobrevivência
    • Queria perguntar se você já usou XMPP
    • Usei o SimpleX como servidor principal por cerca de um ano e funcionou bem. Tentei migrar um grupo do Signal para o SimpleX, mas não deu certo, e no fim o uso parou
    • Eu mantenho a mesma sala do Matrix há anos

  • Para mim e para as pessoas à minha volta, a experiência com Matrix foi muito positiva. Fiz onboarding de dezenas de pessoas não técnicas com o Beeper e o Element, e todo mundo está usando bem. Trocar de dispositivo também não foi problema, e a UX é bem competitiva até comparando com o Discord.
    Por isso não entendo as reclamações que aparecem no HN. Imagino que talvez estejam usando servidores antigos ou clientes incompatíveis

    • Acho que o Matrix está perto de um estágio quase completo, então as pessoas ficam mais sensíveis aos defeitos que restam. Nos últimos anos, o foco foi mais em implantações no setor público, então recursos para competir com o Discord ficaram em segundo plano
    • Fazer self-hosting foi tranquilo, mas para quem veio do Discord os links de convite e o processo de cadastro eram complexos demais. Principalmente por causa da mudança no sistema de chat por voz, que quebrou instalações existentes, além da falta de documentação
    • Eu também gerencio meu servidor pessoal com scripts Ansible (matrix-docker-ansible-deploy) e ele funciona de forma estável. Provavelmente a diferença está na experiência com o servidor público (matrix.org)
    • Eu também uso sem problemas. Em chats pequenos com amigos funciona perfeitamente
    • Tenho curiosidade sobre como tem sido a experiência do ponto de vista de segurança

  • O SimpleX diz que “não tem identificadores de usuário”, mas na prática o endereço IP continua exposto. Toda a rede pública é hospedada por duas empresas, Akamai e Runonflux.
    Eles deveriam incluir o Tor por padrão e explicar com clareza a opção de mascaramento de IP. Do jeito que está, o significado é só “não criamos identificadores adicionais”, mas o IP em si não fica protegido

    • Eu sou o arquiteto de rede do SimpleX. Endereço IP é um identificador da internet, não um identificador do SimpleX. O objetivo do SimpleX é impedir correlação entre IPs e evitar exposição a servidores que o usuário não escolheu.
      O motivo de não embutirmos o Tor está explicado no FAQ
    • Fico preocupado com o movimento do SimpleX de querer criar sua própria criptomoeda

  • Não tenho opinião sobre Matrix, mas recomendo muito ler o artigo Nebuchadnezzar. O ponto central da mensageria segura em grupo não é a criptografia, e sim a gestão da associação ao grupo.
    Link para o artigo

    • Seria interessante combinar isso com um sistema como o FOKS(https://foks.pub)
    • Li a documentação do protocolo Matrix pela primeira vez, e a impressão foi de algo feito por alguém sem muita compreensão de sistemas distribuídos. Parece uma mistura de IRC e XMPP sem conceitos como Lamport clock ou virtual synchrony.
      Quando vi as várias tentativas de chegar a consenso por meio de ordenação de DAG, tive a sensação de que o projeto estava fundamentalmente errado. Seria melhor montar um chat em grupo direto com NNTP + GnuPG

  • Publiquei a atualização de fim de ano do Matrix: Matrix Holiday Special 2025
    Desejo um ótimo fim de ano para todos :)

  • Uso Matrix há 6 anos. Em 2020, com a grande onda de usuários, foi difícil, mas hoje está estável.
    Ainda me incomodam os bugs e a lentidão do Element Web, mas há muitos clientes alternativos mais leves.
    A criptografia de metadados ainda não está completa, mas nas minhas conversas do dia a dia isso não é um grande problema.
    Continuo usando Matrix por causa da combinação insubstituível de arquitetura federada, E2EE, multidispositivo, software livre e possibilidade de self-hosting.
    A liderança calma do líder do projeto também me passa confiança

    • Também concordo. Estou usando um fork customizado por causa do problema de vazamento de memória do Element Web (link da issue).
      A mudança para o matrix-rust-sdk deve trazer uma grande melhora. Também estou animado com o projeto Aurora
    • O XMPP também consegue oferecer praticamente os mesmos recursos com muito menos consumo de recursos. Para videochamadas é preciso um servidor TURN, mas funciona bem

  • Existe uma palestra do Moxie (fundador do Signal) na CCC de 2020 apontando os problemas de sistemas federados.
    Link do vídeo

  • Não concordo com a tese de “Why Federation Must Die”. Sistemas federados são difíceis, mas são a única forma de manter comunicação segura dentro da UE mesmo sob regulações como o Chatcontrol.
    Em sistemas centralizados basta pressionar uma organização, mas em sistemas federados todos operam seus próprios servidores, então é muito mais difícil controlar

    • Aquele texto não defendia o fim da federação, e sim a descentralização completa
    • Eu também apoio federação. Basta olhar para o Mastodon para ver como uma estrutura mais livre é importante em comparação à centralização. A discoverability é difícil, mas em compensação a autonomia é muito maior

  • O campo anti-Big Tech na verdade é uma coalizão de vários valores diferentes.
    Um lado prioriza federação e autonomia, o outro prioriza criptografia e privacidade.
    Se reconhecermos que as prioridades são diferentes, talvez seja possível uma cooperação mais tolerante, mesmo sem concordância total

    • Penso a mesma coisa. Eu valorizo self-hosting e interoperabilidade, mas outras pessoas consideram E2EE e minimização de metadados mais importantes.
      É quase impossível que um projeto como o Matrix consiga satisfazer plenamente os dois grupos.
      Além disso, como o grupo de segurança e privacidade é mais barulhento, o debate muitas vezes soa mais negativo do que a realidade

  • Este ano estamos melhorando a proteção de metadados do Matrix.

    • MSC4362: criptografia do estado da sala
    • MSC4256: remoção do remetente e criptografia baseada em MLS
      No passado, o foco foi estabilizar a criptografia distribuída, então a proteção de metadados ficou em segundo plano.
      Além disso, o próprio tráfego de rede já expõe muitos metadados, então ocultação completa é difícil.
      Mesmo assim, melhorias maiores estão previstas para 2026
      Também existe esta apresentação de 2016: Matrix Jardin Entropique (PDF)
      Algumas alegações (por exemplo, envio de dados a servidor central) simplesmente não são verdadeiras. A autenticação de mídia foi aplicada desde junho de 2024 e, em 2025, a equipe de trust & safety também foi reforçada
    • As pessoas dizem que querem hospedar por conta própria, mas no fim acabam querendo um serviço de hospedagem pago. Se há muitas questões de segurança, isso pode até virar uma oportunidade de negócio em hospedagem
    • A postura de “rode seu próprio servidor” dificilmente ganha apoio no longo prazo. Não é realista esperar que o usuário comum vire um meio administrador de sistemas