Mozilla je objavila rezultate revizije svog VPN klijenta

Prije nekoliko dana Mozilla puštena objavljivanje oglasa završetak nezavisne revizije napravljen za klijentski softver koji se koristi za povezivanje s Mozillinom VPN uslugom.

Revizija je analizirala zasebnu klijentsku aplikaciju napisanu s Qt bibliotekom i isporučenu za Linux, macOS, Windows, Android i iOS. Mozilla VPN radi s više od 400 servera švedskog VPN provajdera Mullvad u više od 30 zemalja. Veza s VPN uslugom ostvaruje se pomoću WireGuard protokola.

Reviziju je izvršio Cure53, koja je u jednom trenutku izvršila reviziju projekata NTPsec, SecureDrop, Cryptocat, F-Droid i Dovecot. Slušni uključila verifikaciju izvornog koda i uključila testove za identifikaciju potencijalnih ranjivosti (Pitanja vezana za kripto krizu nisu uzeta u obzir). Tokom revizije identifikovano je 16 sigurnosnih problema, od kojih je 8 bilo preporučljivog tipa, 5 je pripisano niskom nivou opasnosti, dva - srednjem i jednom - visokom.

Mozilla je danas objavila nezavisnu sigurnosnu reviziju svog Mozilla VPN-a, koja pruža šifriranje na nivou uređaja i zaštitu vaše veze i informacija na webu, od Cure53, nepristrasne kompanije za kibernetičku sigurnost sa sjedištem u Berlinu sa više od 15 godina rada. testiranje softvera i revizija koda. Mozilla redovno surađuje s organizacijama trećih strana kako bi nadopunila naše programe interne sigurnosti i pomogla poboljšati ukupnu sigurnost naših proizvoda. Tokom nezavisne revizije otkrivena su dva pitanja srednje težine i jedno ozbiljnosti. Obratili smo im se u ovom postu na blogu i objavili izvještaj o reviziji sigurnosti.

Međutim, napominje se da samo problem sa srednjom težinom je klasificiran kao ranjivost, ode bio je jedini koji se mogao iskoristiti i izvještaj opisuje da je ovaj problem procurio informacije o upotrebi VPN -a u kôd za definiranje zarobljenog portala slanjem nešifriranih direktnih HTTP zahtjeva izvan VPN tunela izlažući primarnu korisničku IP adresu ako napadač može kontrolirati tranzitni promet. Također, izvještaj spominje da je problem riješen onemogućavanjem načina otkrivanja zarobljenog portala u postavkama.

Od lansiranja prošle godine, Mozilla VPN, naša brza i jednostavna za korištenje usluga virtualne privatne mreže, proširila se na sedam zemalja, uključujući Austriju, Belgiju, Francusku, Njemačku, Italiju, Španjolsku i Švicarsku, za ukupno 13 zemalja . gdje je dostupan Mozilla VPN. Također smo proširili ponudu VPN usluga i sada je dostupna na Windows, Mac, Linux, Android i iOS platformama. Na kraju, naša lista jezika koje podržavamo nastavlja rasti i do danas podržavamo 28 jezika.

Sa druge strane drugi problem koji je pronađen je srednje težine a povezano je s nedostatkom pravilnog čišćenja numeričkih vrijednosti u broju porta, što omogućuje filtriranje OAuth parametara provjere autentičnosti zamjenom broja porta nizom poput "1234@example.com", što će dovesti do postavljanja HTML oznaka za postavljanje zahtjeva pristupom domeni, na primjer example.com umjesto 127.0.0.1.

Treći problem, označen kao opasan spomenuto u izvještaju, opisano je da Ovo omogućava svakoj neautentificiranoj lokalnoj aplikaciji pristup VPN klijentu putem WebSocketa vezanog za localhost. Na primjer, prikazano je kako bi, s aktivnim VPN klijentom, bilo koje web mjesto moglo organizirati stvaranje i isporuku snimke zaslona generiranjem događaja screen_capture.

Problem nije klasificiran kao ranjivost jer se WebSocket koristio samo u internim verzijama testiranja, a upotreba ovog komunikacijskog kanala planirana je tek u budućnosti za organizaciju interakcije s dodatkom za preglednik.

Konačno ako ste zainteresirani da saznate više o tome O izvještaju koji je objavila Mozilla možete pogledati u detalje na sljedećem linku.