قبل بضعة أيام تم إصدار Mozilla نشر إعلان إتمام التدقيق المستقل تم إنشاؤه لبرامج العميل المستخدمة للاتصال بخدمة VPN من Mozilla.
قام التدقيق بتحليل تطبيق عميل منفصل مكتوب بمكتبة Qt وتم تسليمه لأنظمة Linux و macOS و Windows و Android و iOS. تعمل Mozilla VPN مع أكثر من 400 خادم من مزود VPN السويدي Mullvad في أكثر من 30 دولة. يتم الاتصال بخدمة VPN باستخدام بروتوكول WireGuard.
تم إجراء التدقيق بواسطة Cure53، والتي قامت في وقت ما بمراجعة مشاريع NTPsec و SecureDrop و Cryptocat و F-Droid و Dovecot. السمع تضمنت التحقق من رمز المصدر وتضمنت اختبارات لتحديد الثغرات الأمنية المحتملة (لم يتم النظر في المشكلات المتعلقة بالعملات المشفرة). أثناء التدقيق ، تم تحديد 16 مشكلة أمنية ، 8 منها كانت من نوع التوصيات ، و 5 تم تصنيفها على مستوى منخفض من المخاطر ، واثنتان - متوسطة وواحدة - عالية.
أصدرت Mozilla اليوم تدقيقًا أمنيًا مستقلاً لشبكة Mozilla VPN الخاصة بها ، والتي توفر تشفيرًا على مستوى الجهاز وحماية اتصالك ومعلوماتك عندما تكون على الويب ، من Cure53 ، وهي شركة أمن إلكتروني محايدة مقرها برلين مع أكثر من 15 عامًا من التشغيل. اختبار البرمجيات وتدقيق الكود. تعمل Mozilla بانتظام مع مؤسسات الجهات الخارجية لتكملة برامج الأمان الداخلي لدينا والمساعدة في تحسين الأمان العام لمنتجاتنا. خلال المراجعة المستقلة ، تم اكتشاف مشكلتين متوسطتي الخطورة وواحدة عالية الخطورة. لقد قمنا بتغطيتها في منشور المدونة هذا ونشرنا تقرير تدقيق الأمان.
ومع ذلك ، فقد ذكر أن مجرد مشكلة ذات مستوى خطورة متوسط تم تصنيفها على أنها ثغرة أمنية ، منذ ذلك الحينكان البريد الوحيد الذي كان قابلاً للاستغلال ويصف التقرير أن هذه المشكلة كانت تسرب معلومات استخدام VPN في رمز لتعريف البوابة المقيدة عن طريق إرسال طلبات HTTP مباشرة غير مشفرة خارج نفق VPN مما يعرض عنوان IP الأساسي للمستخدم إذا كان المهاجم يمكنه التحكم في حركة المرور العابر. يشير التقرير أيضًا إلى أنه تم حل المشكلة عن طريق تعطيل وضع اكتشاف البوابة المقيدة في الإعدادات.
منذ إطلاقنا العام الماضي ، توسعت Mozilla VPN ، وهي خدمة شبكتنا الافتراضية الخاصة السريعة وسهلة الاستخدام ، لتشمل سبع دول ، بما في ذلك النمسا وبلجيكا وفرنسا وألمانيا وإيطاليا وإسبانيا وسويسرا ، بإجمالي 13 دولة. حيث يتوفر Mozilla VPN. قمنا أيضًا بتوسيع عروض خدمة VPN الخاصة بنا وهي متوفرة الآن على أنظمة Windows و Mac و Linux و Android و iOS. أخيرًا ، تستمر قائمة اللغات التي ندعمها في النمو ، وحتى الآن ، نحن ندعم 28 لغة.
من ناحية أخرى المشكلة الثانية التي تم العثور عليها في مستوى الخطورة المتوسطة ويرتبط بعدم وجود تنظيف سليم للقيم غير الرقمية في رقم المنفذ ، والتي يسمح لك بتصفية معلمات مصادقة OAuth من خلال استبدال رقم المنفذ بسلسلة مثل "1234@example.com" ، مما سيؤدي إلى إعداد علامات HTML لتقديم الطلب عن طريق الوصول إلى المجال ، على سبيل المثال example.com بدلاً من 127.0.0.1.
المشكلة الثالثة ، ووصفت بأنها خطيرة المذكورة في التقرير موصوفة ذلك يسمح هذا لأي تطبيق محلي غير مصدق بالوصول إلى عميل VPN من خلال WebSocket المرتبط بالمضيف المحلي. على سبيل المثال ، يوضح كيف يمكن لأي موقع ، باستخدام عميل VPN نشط ، تنظيم إنشاء لقطة شاشة وتقديمها عن طريق رفع حدث screen_capture.
لم يتم تصنيف المشكلة على أنها ثغرة أمنية حيث تم استخدام WebSocket فقط في تصميمات الاختبار الداخلية ولم يتم التخطيط لاستخدام قناة الاتصال هذه إلا في المستقبل لتنظيم التفاعل مع المكون الإضافي للمتصفح.
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها حول التقرير الصادر عن Mozilla ، يمكنك الرجوع إلى التفاصيل في الرابط التالي.
التدقيق لا يهم. لديهم 400 خادم فقط ، وهذا أمر مثير للسخرية ، بغض النظر عن مقدار المراجعة التي تجريها إذا كان لديك 400 خادم فقط ، مقارنة بـ 3000-6000 خادم للشبكات الافتراضية الخاصة كما أراد الله ، حسنًا. Mozilla vpn عبارة عن kakarruta مع الأيام المرقمة.
دائما في المرتبة الأولى في دول العالم الأول.
@ 400 سبارتانز:
لا تمتلك Mozilla خوادم VPN خاصة بها منتشرة ، فهي تستخدم شبكة Mullvad (يبدو الأمر كما لو أنها استأجرت الخوادم من المزود الآخر). التدقيق مهم!