Pochi giorni fa Mozilla rilasciato la pubblicazione del bando di il completamento della revisione contabile indipendente creato al software client utilizzato per connettersi al servizio VPN di Mozilla.
L'audit ha analizzato un'applicazione client separata scritta con la libreria Qt e fornita per Linux, macOS, Windows, Android e iOS. Mozilla VPN funziona con più di 400 server del provider VPN svedese Mullvad in più di 30 paesi. La connessione al servizio VPN avviene tramite il protocollo WireGuard.
L'audit è stato eseguito da Cure53, che a un certo punto ha verificato i progetti NTPsec, SecureDrop, Cryptocat, F-Droid e Dovecot. l'uditivo prevedeva la verifica del codice sorgente e includeva test per identificare potenziali vulnerabilità (I problemi relativi alle criptovalute non sono stati considerati). Durante l'audit sono stati individuati 16 problemi di sicurezza, di cui 8 di tipo raccomandazione, a 5 è stato assegnato un livello di rischio basso, due - medio e uno - alto.
Oggi, Mozilla ha rilasciato un audit di sicurezza indipendente della sua VPN Mozilla, che fornisce crittografia a livello di dispositivo e protezione della connessione e delle informazioni quando si è sul Web, da Cure53, una società di sicurezza informatica imparziale con sede a Berlino con oltre 15 anni di attività. test del software e verifica del codice. Mozilla collabora regolarmente con organizzazioni di terze parti per integrare i nostri programmi di sicurezza interna e contribuire a migliorare la sicurezza complessiva dei nostri prodotti. Durante l'audit indipendente sono stati individuati due problemi di gravità media e uno di gravità elevata. Li abbiamo affrontati in questo post sul blog e pubblicato il rapporto di controllo della sicurezza.
Tuttavia, si dice che solo un problema con un livello di gravità medio è stato classificato come una vulnerabilità, poichéEra l'unico sfruttabile e il rapporto descrive che questo problema stava perdendo informazioni sull'utilizzo della VPN nel codice per definire il captive portal inviando richieste HTTP dirette non crittografate all'esterno del tunnel VPN che esponevano l'indirizzo IP primario dell'utente se un utente malintenzionato può controllare il traffico di transito. Inoltre, il rapporto menziona che il problema viene risolto disabilitando la modalità di rilevamento del Captive Portal nelle impostazioni.
Dal nostro lancio lo scorso anno, Mozilla VPN, il nostro servizio di rete privata virtuale veloce e facile da usare, si è esteso a sette paesi, tra cui Austria, Belgio, Francia, Germania, Italia, Spagna e Svizzera, per un totale di 13 paesi .dove è disponibile Mozilla VPN. Abbiamo anche ampliato la nostra offerta di servizi VPN ed è ora disponibile su piattaforme Windows, Mac, Linux, Android e iOS. Infine, il nostro elenco di lingue che supportiamo continua a crescere e ad oggi supportiamo 28 lingue.
Inoltre il secondo problema riscontrato è nel livello di gravità medio ed è legato alla mancanza di una corretta pulizia dei valori non numerici nel numero di porta, che consente di filtrare i parametri di autenticazione OAuth sostituendo il numero di porta con una stringa del tipo "1234@esempio.com", che porterà all'impostazione dei tag HTML per effettuare la richiesta accedendo al dominio, ad esempio esempio.com invece di 127.0.0.1.
Il terzo problema, contrassegnato come pericoloso menzionato nella relazione, si descrive che Ciò consente a qualsiasi applicazione locale non autenticata di accedere al client VPN tramite un WebSocket associato a localhost. A titolo di esempio, viene mostrato come, con un client VPN attivo, qualsiasi sito potrebbe organizzare la creazione e la consegna di uno screenshot generando l'evento screen_capture.
Il problema non è stato classificato come vulnerabilità poiché WebSocket è stato utilizzato solo in build di test interni e l'uso di questo canale di comunicazione è stato pianificato solo in futuro per organizzare l'interazione con il plug-in del browser.
Infine se sei interessato a saperne di più In merito al report diffuso da Mozilla, potete consultare il dettagli nel seguente collegamento.
L'audit non ha importanza. Hanno solo 400 server, questo è ridicolo, non importa quanto audit passi se hai solo 400 server, rispetto ai 3000-6000 che le VPN hanno come Dio voleva, beh. Mozilla vpn è un kakarruta con i giorni contati.
Sempre primi nei paesi del primo mondo.
@ 400 spartani:
Mozilla non ha i propri server VPN distribuiti, utilizzano la rete Mullvad (è come se avessero affittato i server dall'altro provider). L'audit è importante!