Mozilla zveřejnila výsledky auditu svého klienta VPN

Před pár dny Mozilla vydána zveřejnění oznámení o dokončení nezávislého auditu vytvořeno pro klientský software, který se používá k připojení ke službě Mozilla VPN.

Audit analyzoval samostatnou klientskou aplikaci napsanou s knihovnou Qt a dodanou pro Linux, macOS, Windows, Android a iOS. Mozilla VPN funguje s více než 400 servery od švédského poskytovatele VPN Mullvad ve více než 30 zemích. Připojení ke službě VPN se provádí pomocí protokolu WireGuard.

Audit provedla společnost Cure53, který v jednom okamžiku auditoval projekty NTPsec, SecureDrop, Cryptocat, F-Droid a Dovecot. Sluchové zahrnovalo ověření zdrojového kódu a zahrnovalo testování k identifikaci potenciálních zranitelností (Problémy související s kryptoměnami nebyly brány v úvahu). Během auditu bylo identifikováno 16 bezpečnostních problémů, z nichž 8 bylo typu doporučení, 5 bylo přiřazeno nízké nebezpečí, dva - střední a jeden - vysoký.

Společnost Mozilla dnes zveřejnila nezávislý bezpečnostní audit své sítě Mozilla VPN, která poskytuje šifrování na úrovni zařízení a ochranu vašeho připojení a informací na webu, od Cure53, nestranné kybernetické společnosti sídlící v Berlíně s více než 15 lety provozu. testování softwaru a auditování kódu. Mozilla pravidelně spolupracuje s organizacemi třetích stran na doplňování našich interních bezpečnostních programů a pomáhá zlepšovat celkové zabezpečení našich produktů. Během nezávislého auditu byly objeveny dva problémy střední závažnosti a jeden vysoký stupeň závažnosti. Oslovili jsme je v tomto příspěvku na blogu a zveřejnili zprávu o auditu zabezpečení.

Je však uvedeno, že jen problém se střední úrovní závažnosti byl klasifikován jako zranitelnost, protožeByl jediný, který se dal zneužít a zpráva popisuje, že tomuto problému unikly informace o využití VPN v kódu k definování portálu pro zajetí odesláním nešifrovaných přímých požadavků HTTP mimo tunel VPN, který odhalí primární IP adresu uživatele, pokud může útočník řídit tranzitní provoz. Zpráva také uvádí, že problém je vyřešen deaktivací režimu detekce portálu pro zajetí v nastavení.

Od loňského spuštění se Mozilla VPN, naše rychlá a snadno použitelná služba virtuální privátní sítě, rozšířila do sedmi zemí, včetně Rakouska, Belgie, Francie, Německa, Itálie, Španělska a Švýcarska, pro celkem 13 zemí .kde je Mozilla VPN k dispozici. Také jsme rozšířili naše nabídky služeb VPN a nyní jsou k dispozici na platformách Windows, Mac, Linux, Android a iOS. Náš seznam jazyků, které podporujeme, se neustále rozrůstá a k dnešnímu dni podporujeme 28 jazyků.

Na druhou stranu druhý problém, který byl nalezen, je ve střední závažnosti a souvisí s nedostatkem řádného čištění nečíselných hodnot v čísle portu, které umožňuje filtrovat parametry ověřování OAuth nahrazením čísla portu řetězcem jako „1234@example.com“, což povede k nastavení značek HTML pro odeslání požadavku přístupem k doméně, například example.com namísto 127.0.0.1.

Třetí problém, označený jako nebezpečný uvedené ve zprávě, je popsáno, že To umožňuje jakékoli neověřené místní aplikaci přistupovat ke klientovi VPN prostřednictvím serveru WebSocket vázaného na localhost. Jako příklad je ukázáno, jak by s aktivním klientem VPN mohl jakýkoli web organizovat vytváření a doručování snímků obrazovky generováním události screen_capture.

Problém nebyl klasifikován jako chyba zabezpečení, protože WebSocket byl používán pouze v interních testovacích sestaveních a použití tohoto komunikačního kanálu bylo v budoucnu plánováno pouze k organizaci interakce s pluginem prohlížeče.

Konečně pokud máte zájem o tom vědět více O zprávě vydané společností Mozilla si můžete přečíst podrobnosti v následujícím odkazu.