Mozilla julkisti VPN -asiakkaansa auditointitulokset

Muutama päivä sitten Mozilla julkaistiin -ilmoituksen julkaiseminen riippumattoman tarkastuksen saattaminen päätökseen tehty asiakasohjelmistoon, jota käytetään yhteyden muodostamiseen Mozillan VPN -palveluun.

Tarkastuksessa analysoitiin erillinen asiakassovellus, joka oli kirjoitettu Qt -kirjaston kanssa ja toimitettu Linuxille, macOS: lle, Windowsille, Androidille ja iOS: lle. Mozilla VPN toimii ruotsalaisen VPN -palveluntarjoajan Mullvadin yli 400 palvelimen kanssa yli 30 maassa. Yhteys VPN -palveluun tehdään WireGuard -protokollaa käyttäen.

Tarkastuksen suoritti Cure53, joka tarkasteli jossain vaiheessa NTPsec-, SecureDrop-, Cryptocat-, F-Droid- ja Dovecot-projekteja. Auditiivinen sisälsi lähdekoodin vahvistuksen ja sisälsi testejä mahdollisten haavoittuvuuksien tunnistamiseksi (Kryptoihin liittyviä kysymyksiä ei otettu huomioon). Tarkastuksen aikana havaittiin 16 turvallisuusongelmaa, joista 8 oli suositustyyppisiä, 5: lle asetettiin matala vaarataso, kahdelle keskitasoinen ja yksi korkea.

Mozilla julkaisi tänään riippumattoman turvatarkastuksen Mozilla VPN -palvelustaan, joka tarjoaa laitetason salauksen ja suojaa yhteytesi ja tietosi verkossa, Cure53: lta, joka on Berliinissä toimiva puolueeton kyberturvallisuusyritys, jolla on yli 15 vuoden toiminta. ohjelmistotestaus ja kooditarkastus. Mozilla tekee säännöllisesti yhteistyötä kolmansien osapuolten kanssa täydentääkseen sisäisiä tietoturvaohjelmiamme ja parantaakseen tuotteidemme yleistä turvallisuutta. Riippumattoman tarkastuksen aikana havaittiin kaksi keskivaikeaa ja yksi vakava ongelma. Olemme käsitelleet niitä tässä blogikirjoituksessa ja julkaisseet turvatarkastusraportin.

On kuitenkin mainittu, että vain keskivaikeusaste on luokiteltu haavoittuvuudeksi, koskae oli ainoa, joka oli hyödynnettävissä ja raportissa kuvataan, että tämä ongelma vuotaa VPN -käyttötietoja koodista, joka määrittelee vankeusportaalin lähettämällä salaamattomia suoria HTTP -pyyntöjä VPN -tunnelin ulkopuolelle paljastamalla käyttäjän ensisijaisen IP -osoitteen, jos hyökkääjä voi hallita kauttakulkuliikennettä. Raportissa mainitaan myös, että ongelma ratkaistaan ​​poistamalla Captive Portal Detection Mode käytöstä asetuksista.

Viime vuoden lanseerauksemme jälkeen Mozilla VPN, nopea ja helppokäyttöinen virtuaalinen yksityinen verkkopalvelumme, on laajentunut seitsemään maahan, mukaan lukien Itävalta, Belgia, Ranska, Saksa, Italia, Espanja ja Sveitsi, yhteensä 13 maassa . missä Mozilla VPN on käytettävissä. Laajensimme myös VPN -palveluvalikoimaamme ja se on nyt saatavana Windows-, Mac-, Linux-, Android- ja iOS -alustoille. Lopuksi tuettavien kieltemme luettelo kasvaa edelleen ja toistaiseksi tuemme 28 kieltä.

lisäksi toinen havaittu ongelma on keskivaikeustaso ja se liittyy ei-numeeristen arvojen asianmukaisen puhdistuksen puutteeseen portin numerossa, joka sallii OAuth -todennusparametrien suodattamisen korvaamalla portin numero merkkijonolla, kuten "1234@example.com", mikä johtaa HTML -tunnisteiden asettamiseen pyyntöä varten käyttämällä verkkotunnusta, esimerkiksi example.com 127.0.0.1: n sijasta.

Kolmas ongelma, merkitty vaaralliseksi Raportissa mainitaan, että sitä kuvataan Tämä sallii kaikkien todentamattomien paikallisten sovellusten käyttää VPN -asiakasta paikalliseen isäntään sidotun WebSocketin kautta. Esimerkkinä on esitetty, kuinka mikä tahansa sivusto voi järjestää kuvakaappauksen luomisen ja toimittamisen luomalla screen_capture -tapahtuman aktiivisen VPN -asiakkaan kanssa.

Ongelmaa ei luokiteltu haavoittuvuudeksi, koska WebSocketia käytettiin vain sisäisissä testirakenteissa, ja tämän viestintäkanavan käyttöä suunniteltiin tulevaisuudessa vain selaimen laajennuksen vuorovaikutuksen järjestämiseksi.

Vihdoin jos olet kiinnostunut tietämään siitä lisää Tietoja Mozillan julkaisemasta raportista on osoitteessa yksityiskohdat seuraavassa linkissä.