Mozilla пусна резултатите от одита на своя VPN клиент

Преди няколко дни Mozilla пусна публикуването на съобщението за завършването на независимия одит направен на клиентски софтуер, който се използва за свързване към VPN услугата на Mozilla.

Одитът анализира отделно клиентско приложение, написано с библиотеката Qt и доставено за Linux, macOS, Windows, Android и iOS. Mozilla VPN работи с повече от 400 сървъра от шведския VPN доставчик Mullvad в повече от 30 страни. Връзката с VPN услугата се осъществява с помощта на протокола WireGuard.

Одитът е извършен от Cure53, които в един момент одитираха проектите NTPsec, SecureDrop, Cryptocat, F-Droid и Dovecot. Слуховата включваше проверка на изходния код и включваше тестове за идентифициране на потенциални уязвимости (Проблемите, свързани с крипто, не бяха разгледани.) По време на одита бяха идентифицирани 16 проблема със сигурността, 8 от които бяха препоръчителни, на 5 бяха определени ниско ниво на опасност, две - средно и едно - високо.

Днес Mozilla пусна независим одит на сигурността на своята Mozilla VPN, която осигурява криптиране на ниво устройство и защита на вашата връзка и информация, когато сте в мрежата, от Cure53, базирана в Берлин безпристрастна компания за киберсигурност с над 15 години работа. софтуерно тестване и одит на код. Mozilla периодично работи с организации на трети страни, за да допълни нашите програми за вътрешна сигурност и да помогне за подобряване на цялостната сигурност на нашите продукти. По време на независимия одит бяха открити два въпроса със средна тежест и един с висока тежест. Разгледахме ги в тази публикация в блога и публикувахме доклада за одит на сигурността.

Споменава се обаче, че просто проблем със средна степен на тежест е класифициран като уязвимост, тъй катод беше единственият, който можеше да се използва и в доклада се описва, че този проблем е изтичал информация за използването на VPN в код, за да дефинира портала за задържане, като изпраща некриптирани директни HTTP заявки извън VPN тунела, излагайки основния IP адрес на потребителя, ако нападателят може да контролира транзитния трафик. Също така в доклада се споменава, че проблемът е решен чрез деактивиране на режима за откриване на затворен портал в настройките.

От пускането ни миналата година Mozilla VPN, нашата бърза и лесна за използване услуга за виртуална частна мрежа, се разшири до седем държави, включително Австрия, Белгия, Франция, Германия, Италия, Испания и Швейцария, за общо 13 държави където е налична Mozilla VPN. Също така разширихме нашите предложения за VPN услуги и вече е достъпно на платформи Windows, Mac, Linux, Android и iOS. И накрая, нашият списък с езици, които поддържаме, продължава да расте и към днешна дата поддържаме 28 езика.

От друга страна вторият проблем, който беше открит, е със средно ниво на тежест и е свързано с липсата на подходящо почистване на нецифрени стойности в номера на порта, който позволява филтриране на параметрите за удостоверяване на OAuth чрез замяна на номера на порта с низ като „1234@example.com“, което ще доведе до настройката на HTML тагове за отправяне на заявката чрез достъп до домейна, например example.com вместо 127.0.0.1.

Третият проблем, означен като опасен споменато в доклада, е описано, че Това позволява на всяко неоторизирано локално приложение да получи достъп до VPN клиента чрез WebSocket, свързан с localhost. Като пример той показва как с активен VPN клиент всеки сайт може да организира създаването и доставянето на екранна снимка чрез генериране на събитие screen_capture.

Проблемът не беше класифициран като уязвимост, тъй като WebSocket се използваше само при вътрешни тестови компилации и използването на този комуникационен канал се планираше само в бъдеще за организиране на взаимодействие с приставката на браузъра.

Накрая ако се интересувате да научите повече за това За доклада, публикуван от Mozilla, можете да се консултирате с подробности в следващия линк.


3 коментара, оставете своя

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.

  1.   400 спартанци каза той

    Одитът няма значение. Те имат само 400 сървъра, това е нелепо, без значение през колко одит преминавате, ако имате само 400 сървъра, в сравнение с 3000-6000, които VPN имат, както Бог е предвидил, добре. Mozilla vpn е какаррута с номерирани дни.

    1.    Франко Кастило каза той

      Винаги на първо място в страните от първия свят.

  2.   Каин каза той

    @ 400 спартанци:
    Mozilla няма свои собствени VPN сървъри, те използват мрежата Mullvad (сякаш са наели сървърите от другия доставчик). Одитът има значение!