Mozilla offentliggjorde revisionsresultaterne for sin VPN -klient

Få dage siden Mozilla frigivet offentliggørelsen af ​​meddelelsen om afslutningen af ​​den uafhængige revision lavet til klientsoftware, der bruges til at oprette forbindelse til Mozillas VPN -service.

Revisionen analyserede en separat klientapplikation skrevet med Qt -biblioteket og leveret til Linux, macOS, Windows, Android og iOS. Mozilla VPN arbejder med mere end 400 servere fra den svenske VPN -udbyder Mullvad i mere end 30 lande. Forbindelsen til VPN -tjenesten foretages ved hjælp af WireGuard -protokollen.

Revisionen blev udført af Cure53, som på et tidspunkt reviderede NTPsec-, SecureDrop-, Cryptocat-, F-Droid- og Dovecot-projekterne. Det auditive involverede kildekodeverifikation og inkluderede tests for at identificere potentielle sårbarheder (Crypto-relaterede spørgsmål blev ikke overvejet). Under revisionen blev der identificeret 16 sikkerhedsproblemer, hvoraf 8 var anbefalingstype, 5 blev tildelt et lavt fareniveau, to - medium og et - højt.

I dag udgav Mozilla en uafhængig sikkerhedsrevision af sin Mozilla VPN, som giver kryptering på enhedsniveau og beskyttelse af din forbindelse og oplysninger, når du er online, fra Cure53, et uafhængigt cybersikkerhedsfirma i Berlin med over 15 års drift. software test og kode revision. Mozilla arbejder regelmæssigt med tredjepartsorganisationer for at supplere vores interne sikkerhedsprogrammer og hjælpe med at forbedre den generelle sikkerhed for vores produkter. Under den uafhængige revision blev der opdaget to spørgsmål af mellemstor sværhedsgrad og en høj sværhedsgrad. Vi har adresseret dem i dette blogindlæg og offentliggjort sikkerhedsrevisionsrapporten.

Det nævnes dog, at bare et problem med et middel sværhedsgrad blev klassificeret som en sårbarhed, sidene var den eneste, der kunne udnyttes og rapporten beskriver, at dette problem lækkede oplysninger om VPN -brug i kode for at definere den fangede portal ved at sende ukrypterede direkte HTTP -anmodninger uden for VPN -tunnelen og afsløre brugerens primære IP -adresse, hvis en angriber kan kontrollere transittrafik. Rapporten nævner også, at problemet er løst ved at deaktivere Captive Portal Detection Mode i indstillingerne.

Siden vores lancering sidste år er Mozilla VPN, vores hurtige og brugervenlige virtuelle private netværkstjeneste, udvidet til syv lande, herunder Østrig, Belgien, Frankrig, Tyskland, Italien, Spanien og Schweiz for i alt 13 lande . hvor Mozilla VPN er tilgængelig. Vi udvidede også vores VPN -servicetilbud, og det er nu tilgængeligt på Windows, Mac, Linux, Android og iOS -platforme. Endelig vokser vores liste over sprog, vi understøtter, og til dato understøtter vi 28 sprog.

På den anden side det andet problem, der blev fundet, er i niveauet mellem sværhedsgrad og er relateret til manglen på korrekt rengøring af ikke-numeriske værdier i portnummeret, som tillader filtrering af OAuth -godkendelsesparametre ved at erstatte portnummeret med en streng som "1234@example.com", hvilket vil føre til indstilling af HTML -tags for at foretage anmodningen ved at få adgang til domænet, for eksempel example.com i stedet for 127.0.0.1.

Det tredje problem, markeret som farligt nævnt i rapporten, beskrives det Dette giver enhver ikke -godkendt lokal applikation adgang til VPN -klienten via en WebSocket bundet til localhost. Som et eksempel er det vist, hvordan ethvert websted med en aktiv VPN -klient kunne organisere oprettelse og levering af et skærmbillede ved at generere screen_capture -begivenheden.

Problemet blev ikke klassificeret som en sårbarhed, da WebSocket kun blev brugt i interne testopbygninger, og brugen af ​​denne kommunikationskanal kun var planlagt i fremtiden for at organisere interaktion med browser -plugin.

Endelig hvis du er interesseret i at vide mere om det Om rapporten udgivet af Mozilla kan du se detaljer i følgende link.