Один клик — и секретный чат правительства под контролем хакера. В этом весь Matrix

Matrix Element WhatsApp обновление уязвимость
Один клик — и секретный чат правительства под контролем хакера. В этом весь Matrix
Matrix Element WhatsApp обновление уязвимость

Как хакеры могли парализовать госкоммуникации через Matrix.

image

Фонд Matrix Foundation , отвечающий за одноимённый федеративный коммуникационный протокол, сообщил о выпуске внепланового обновления, устраняющего две уязвимости высокого уровня опасности , которые при успешной эксплуатации могли бы иметь критические последствия. По оценке разработчиков, эксплуатация в худшем сценарии могла позволить злоумышленникам получить контроль над закрытыми каналами, используемыми в том числе государственными структурами.

Подробности об уязвимостях пока не раскрываются — в официальном уведомлении сказано лишь, что их обнаружили в рамках совместного исследования специалистов Element и Matrix.org Foundation. По словам представителей организации, признаков эксплуатации в реальных атаках не зафиксировано. Сооснователь и CEO проекта Мэттью Ходжсон отметил, что масштаб и сложность проблем потребовали от команды отойти от стандартной процедуры изменения спецификаций Matrix и работать над патчами под грифом «эмбарго».

В отличие от мессенджеров с закрытым кодом вроде WhatsApp или Signal, Matrix представляет собой открытый стандарт , который администраторы могут развернуть на собственных серверах. Его активно используют государственные и корпоративные структуры в Европе: например, французская правительственная платформа Tchap , бундесвер и другие ведомства для обмена конфиденциальной информацией .

О возможных проблемах разработчики предупредили ещё месяц назад, передав под эмбарго технические детали и исправления всем известным операторам независимых инстансов протокола. Изначально планировалось уложиться с обновлением в 6 дней, но сроки раскрытия увеличили до месяца, чтобы у организаций было время протестировать изменения.

Первая уязвимость получила идентификатор CVE-2025-49090 , но без указания балла по CVSS. В предварительном описании говорится, что проблема затрагивает механизм управления комнатами, позволяя вредоносному администратору, например в инфраструктуре госоргана, изменить или удалить права, установленные создателем канала. В теории это могло бы сорвать обмен данными в кризисной ситуации, перехватить контроль над закрытым чатом или перенаправить его участников в фальшивую комнату, работающую на изменённой версии протокола. Однако позже представители Matrix уточнили, что такой сценарий не отражает сути уязвимости и полные технические детали будут опубликованы только по завершении эмбарго.

Вторая проблема, CVE-2025-54315 , связана с генерацией идентификаторов комнат. Обычно они формируются как уникальные псевдослучайные значения, но при определённых условиях злоумышленник мог бы предсказать будущий ID. В теории это дало бы возможность создать комнату заранее или подключиться к конфиденциальному каналу без приглашения, установив собственные правила и перехватив данные. Однако в Matrix подчеркнули, что баг не позволяет ни предварительно создавать комнаты, ни присоединяться к защищённым чатам, ни извлекать оттуда информацию — иначе он получил бы оценку «Critical» , а не «High».

Фонд предупредил, что обновление комнат может вызвать перебои в работе и рекомендовав администраторам протестировать внедрение патчей перед запуском. Для этого опубликованы специальные инструкции. Полное раскрытие деталей обеих уязвимостей намечено на 14 августа.