Fa pocs dies Mozilla va donar a conèixer la publicació de l'anunci de la finalització l'auditoria independent realitzada a un programari de client que és utilitzat per connectar-se a l'servei VPN de Mozilla.
L'auditoria va analitzar una aplicació client independent escrita amb la biblioteca Qt i lliurada per a Linux, macOS, Windows, Android i iOS. Mozilla VPN funciona amb més de 400 servidors de l'proveïdor de VPN suec Mullvad en més de 30 països. La connexió a el servei VPN es realitza mitjançant el protocol WireGuard.
L'auditoria va ser realitzada per Cure53, Que en un moment va auditar els projectes NTPsec, SecureDrop, Cryptocat, F-Droid i Dovecot. l'auditoria implicar la verificació de la font i va incloure proves per identificar possibles vulnerabilitats (No es van considerar els problemes relacionats amb la criptografia). Durant l'auditoria, es van identificar 16 problemes de seguretat, 8 dels quals van ser de tipus recomanació, a 5 es va assignar un nivell de perill baix, dos - mitjà i un - alt.
Avui, Mozilla va publicar una auditoria de seguretat independent de la seva VPN Mozilla, que proporciona xifrat i protecció a nivell de dispositiu de la seva connexió i informació quan està a la Web, de Cure53, una empresa de ciberseguretat imparcial amb seu a Berlín amb més de 15 anys de funcionament. proves de programari i auditoria de codis. Mozilla treballa periòdicament amb organitzacions de tercers per complementar els nostres programes de seguretat interna i ajudar a millorar la seguretat general dels nostres productes. Durant l'auditoria independent, es van descobrir dos problemes de gravetat mitjana i un alt. Els hem abordat en aquesta publicació de bloc i hem publicat l'informe d'auditoria de seguretat.
No obstant això, s'esmenta que només un problema amb un nivell de gravetat mig es va classificar com vulnerabilitat, ja qui era l'únic que era explotable i en l'informe es descriu que aquest problema estava filtrant informació d'ús de la VPN en el codi per definir el portal captiu mitjançant l'enviament de sol·licituds HTTP directes sense xifrar fora de túnel VPN que exposen l'adreça IP principal de l'usuari si un atacant pot controlar el trànsit de trànsit. A més, en l'informe s'esmenta que el problema es resol desactivant la manera de detecció de l'portal captiu en la configuració.
Des del nostre llançament l'any passat, Mozilla VPN, el nostre servei de xarxa privada virtual ràpid i fàcil d'usar, s'ha expandit a set països, inclosos Àustria, Bèlgica, França, Alemanya, Itàlia, Espanya i Suïssa, sumant un total de 13 països on Mozilla VPN està disponible. També ampliem les nostres ofertes de serveis de VPN i ara està disponible a les plataformes Windows, Mac, Linux, Android i iOS. Finalment, la nostra llista d'idiomes que admetem segueix creixent i, fins ara, admetem 28 idiomes.
D'altra banda el segon problema que va ser trobat està en el nivell de gravetat mig i està relacionat amb la manca de neteja adequada de valors no numèrics en el nombre de port, el que permet filtrar els paràmetres d'autenticació de OAuth a l'reemplaçar el número de port amb una cadena com «1234@example.com», que conduirà a la configuració d'etiquetes HTML per fer la sol·licitud accedint a l'domini, per exemple example.com en lloc de 127.0.0.1.
El tercer problema, marcat com a perillós que s'esmenta en l'informe, es descriu que aquest permet que qualsevol aplicació local sense autenticació accedeixi a el client VPN a través d'un websocket vinculat a localhost. A tall d'exemple, es mostra com, amb un client VPN actiu, qualsevol lloc podria organitzar la creació i enviament d'una captura de pantalla generant l'esdeveniment screen_capture.
El problema no es va classificar com una vulnerabilitat, ja que websocket es va usar només en compilacions de prova internes i l'ús d'aquest canal de comunicació només es va planejar en el futur per organitzar la interacció amb el complement de navegador.
Finalment si estàs interessat en poder conèixer més a l'respecte sobre l'informe que va donar a conèixer Mozilla, pots consultar els detalls en el següent enllaç.
És igual l'auditoria. Tenen tan sols 400 servidors, això és una ridiculesa, per molta auditoria que passis si només tens 400 servidors, davant 3000-6000 que tenen les VPNs com déu mana, doncs això. Mozilla vpn és una kakarruta amb els dies comptats.
A sobre sempre primer en els països de primer món.
@ 400espartanos:
Mozilla no té desplegat servidors vpn propis, ells fan ús de la xarxa de Mullvad (és com si li lloguessin els servidors a l'altre proveïdor). 'L'auditoria sí que importa!