Vor ein paar Tagen Mozilla veröffentlicht die Veröffentlichung der Ankündigung von Abschluss der unabhängigen Prüfung Client-Software erstellt wird, die verwendet wird, um eine Verbindung zum VPN-Dienst von Mozilla herzustellen.
Das Audit analysierte eine separate Client-Anwendung, die mit der Qt-Bibliothek geschrieben und für Linux, macOS, Windows, Android und iOS bereitgestellt wurde. Mozilla VPN arbeitet mit mehr als 400 Servern des schwedischen VPN-Anbieters Mullvad in mehr als 30 Ländern zusammen. Die Verbindung zum VPN-Dienst erfolgt über das WireGuard-Protokoll.
Das Audit wurde von Cure53 durchgeführt, das zu einem bestimmten Zeitpunkt die Projekte NTPsec, SecureDrop, Cryptocat, F-Droid und Dovecot überprüfte. Das Auditorium beinhaltete die Verifizierung des Quellcodes und beinhaltete Tests, um potenzielle Schwachstellen zu identifizieren (Kryptobezogene Probleme wurden nicht berücksichtigt). Während des Audits wurden 16 Sicherheitsprobleme identifiziert, von denen 8 vom Empfehlungstyp waren, 5 wurden einer niedrigen Gefährdungsstufe zugeordnet, zwei - mittel und einer - hoch.
Mozilla hat heute von Cure53, einem in Berlin ansässigen, unparteiischen Cybersicherheitsunternehmen mit über 15 Jahren Erfahrung, ein unabhängiges Sicherheitsaudit seines Mozilla VPN veröffentlicht, das Verschlüsselung auf Geräteebene und den Schutz Ihrer Verbindung und Informationen im Internet bietet. Softwaretests und Code-Audits. Mozilla arbeitet regelmäßig mit Drittorganisationen zusammen, um unsere internen Sicherheitsprogramme zu ergänzen und die allgemeine Sicherheit unserer Produkte zu verbessern. Während des unabhängigen Audits wurden zwei Probleme mit mittlerem Schweregrad und ein hoher Schweregrad festgestellt. Wir haben sie in diesem Blogbeitrag angesprochen und den Security-Audit-Bericht veröffentlicht.
Es wird jedoch erwähnt, dass nur ein Problem mit mittlerem Schweregrad wurde als Schwachstelle eingestuft, dae war der einzige, der verwertbar war und der Bericht beschreibt, dass dieses Problem VPN-Nutzungsinformationen im Code zur Definition des Captive-Portals durchsickern ließ, indem unverschlüsselte direkte HTTP-Anforderungen außerhalb des VPN-Tunnels gesendet wurden, die die primäre IP-Adresse des Benutzers offenlegten, wenn ein Angreifer den Transitverkehr kontrollieren kann. Außerdem wird in dem Bericht erwähnt, dass das Problem durch Deaktivieren des Captive Portal-Erkennungsmodus in den Einstellungen behoben wird.
Seit unserer Einführung im letzten Jahr hat sich Mozilla VPN, unser schneller und benutzerfreundlicher virtueller privater Netzwerkdienst, auf sieben Länder ausgeweitet, darunter Österreich, Belgien, Frankreich, Deutschland, Italien, Spanien und die Schweiz, also insgesamt 13 Länder . wo Mozilla VPN verfügbar ist. Wir haben auch unser VPN-Serviceangebot erweitert und es ist jetzt auf Windows-, Mac-, Linux-, Android- und iOS-Plattformen verfügbar. Schließlich wächst unsere Liste der von uns unterstützten Sprachen weiter und bis heute unterstützen wir 28 Sprachen.
außerdem das zweite gefundene Problem liegt im mittleren Schweregrad und hängt mit der fehlenden ordnungsgemäßen Reinigung nicht numerischer Werte in der Portnummer zusammen, die ermöglicht das Filtern von OAuth-Authentifizierungsparametern indem Sie die Portnummer durch eine Zeichenfolge wie "1234@example.com" ersetzen, was dazu führt, dass HTML-Tags gesetzt werden, um die Anfrage durch Zugriff auf die Domain zu stellen, beispielsweise example.com anstelle von 127.0.0.1.
Das dritte Problem, als gefährlich markiert im Bericht erwähnt, wird beschrieben, dass Dadurch kann jede nicht authentifizierte lokale Anwendung über einen an localhost gebundenen WebSocket auf den VPN-Client zugreifen. Als Beispiel wird gezeigt, wie mit einem aktiven VPN-Client jede Site die Erstellung und Lieferung eines Screenshots organisieren könnte, indem sie das screen_capture-Ereignis generiert.
Das Problem wurde nicht als Schwachstelle eingestuft, da WebSocket nur in internen Testbuilds verwendet wurde und die Nutzung dieses Kommunikationskanals zukünftig nur noch geplant war, um die Interaktion mit dem Browser-Plugin zu organisieren.
Schließlich wenn Sie mehr darüber wissen möchten Über den von Mozilla veröffentlichten Bericht können Sie die Details im folgenden Link.
Die Prüfung spielt keine Rolle. Sie haben nur 400 Server, das ist lächerlich, egal wie viele Audits Sie durchlaufen, wenn Sie nur 400 Server haben, verglichen mit 3000-6000, die die VPNs haben, wie Gott es beabsichtigt hat. Mozilla VPN ist ein Kakarruta mit gezählten Tagen.
In Ländern der Ersten Welt immer an erster Stelle.
@ 400 Spartaner:
Mozilla hat keine eigenen VPN-Server im Einsatz, sie nutzen das Mullvad-Netzwerk (als ob sie die Server von einem anderen Anbieter gemietet hätten). Die Prüfung ist wichtig!