Mozilla merilis hasil audit klien VPN-nya

Beberapa hari yang lalu Mozilla dirilis publikasi pengumuman selesainya audit independen dibuat untuk perangkat lunak klien yang digunakan untuk terhubung ke layanan VPN Mozilla.

Audit menganalisis aplikasi klien terpisah yang ditulis dengan pustaka Qt dan dikirimkan untuk Linux, macOS, Windows, Android, dan iOS. Mozilla VPN bekerja dengan lebih dari 400 server dari penyedia VPN Swedia Mullvad di lebih dari 30 negara. Sambungan ke layanan VPN dibuat menggunakan protokol WireGuard.

Audit dilakukan oleh Cure53, yang pernah mengaudit proyek NTPsec, SecureDrop, Cryptocat, F-Droid, dan Dovecot. auditori melibatkan verifikasi kode sumber dan termasuk tes untuk mengidentifikasi potensi kerentanan (Masalah terkait kripto tidak dipertimbangkan.) Selama audit, 16 masalah keamanan diidentifikasi, 8 di antaranya adalah tipe rekomendasi, 5 memiliki tingkat bahaya rendah, dua - sedang dan satu - tinggi.

Hari ini, Mozilla merilis audit keamanan independen terhadap Mozilla VPN-nya, yang menyediakan enkripsi tingkat perangkat dan perlindungan koneksi dan informasi Anda saat di web, dari Cure53, sebuah perusahaan keamanan siber yang berbasis di Berlin dengan lebih dari 15 tahun beroperasi. pengujian perangkat lunak dan audit kode. Mozilla secara berkala bekerja sama dengan organisasi pihak ketiga untuk melengkapi program keamanan internal kami dan membantu meningkatkan keamanan produk kami secara keseluruhan. Selama audit independen, ditemukan dua masalah dengan tingkat keparahan sedang dan satu tingkat keparahan tinggi. Kami telah membahasnya dalam posting blog ini dan menerbitkan laporan audit keamanan.

Namun, disebutkan bahwa hanya masalah dengan tingkat keparahan sedang diklasifikasikan sebagai kerentanan, karenae adalah satu-satunya yang bisa dieksploitasi dan laporan menjelaskan bahwa masalah ini membocorkan informasi penggunaan VPN dalam kode untuk menentukan portal tawanan dengan mengirimkan permintaan HTTP langsung yang tidak terenkripsi di luar terowongan VPN yang memperlihatkan alamat IP utama pengguna jika penyerang dapat mengontrol lalu lintas transit. Juga, laporan tersebut menyebutkan bahwa masalah diselesaikan dengan menonaktifkan Mode Deteksi Portal Tawanan di pengaturan.

Sejak diluncurkan tahun lalu, Mozilla VPN, layanan jaringan pribadi virtual kami yang cepat dan mudah digunakan, telah berkembang ke tujuh negara, termasuk Austria, Belgia, Prancis, Jerman, Italia, Spanyol, dan Swiss, dengan total 13 negara di mana Mozilla VPN tersedia. Kami juga memperluas penawaran layanan VPN kami dan sekarang tersedia di platform Windows, Mac, Linux, Android, dan iOS. Terakhir, daftar bahasa yang kami dukung terus bertambah, dan hingga saat ini, kami mendukung 28 bahasa.

Di sisi lain masalah kedua yang ditemukan adalah pada tingkat keparahan sedang dan terkait dengan kurangnya pembersihan nilai non-numerik yang tepat di nomor port, yang memungkinkan pemfilteran parameter otentikasi OAuth dengan mengganti nomor port dengan string seperti "1234@example.com", yang akan mengarah ke pengaturan tag HTML untuk membuat permintaan dengan mengakses domain, misalnya example.com alih-alih 127.0.0.1.

Masalah ketiga, ditandai sebagai berbahaya disebutkan dalam laporan tersebut, dijelaskan bahwa Ini memungkinkan aplikasi lokal yang tidak diautentikasi untuk mengakses klien VPN melalui WebSocket yang terikat ke localhost. Sebagai contoh, ini menunjukkan bagaimana, dengan klien VPN aktif, situs mana pun dapat mengatur pembuatan dan pengiriman tangkapan layar dengan membuat peristiwa screen_capture.

Masalah ini tidak diklasifikasikan sebagai kerentanan karena WebSocket hanya digunakan dalam pengujian internal dan penggunaan saluran komunikasi ini hanya direncanakan di masa mendatang untuk mengatur interaksi dengan plugin browser.

Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentangnya Tentang laporan yang dirilis oleh Mozilla, Anda dapat berkonsultasi dengan detailnya di tautan berikut.


3 komentar, tinggalkan punyamu

tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Penanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.

  1.   400 Spartan dijo

    Auditnya tidak masalah. Mereka hanya memiliki 400 server, itu konyol, tidak peduli berapa banyak audit yang Anda lalui jika Anda hanya memiliki 400 server, dibandingkan dengan 3000-6000 yang dimiliki VPN seperti yang diinginkan Tuhan, well that. Mozilla vpn adalah kakarruta dengan nomor hari.

    1.    kastil jujur dijo

      Selalu teratas pertama di negara-negara dunia pertama.

  2.   Kain dijo

    @ 400 Spartan:
    Mozilla tidak memiliki server VPN sendiri, mereka menggunakan jaringan Mullvad (seolah-olah mereka menyewa server dari penyedia lain). Audit itu penting!