לפני כמה ימים מוזילה שוחררה פרסום ההודעה של השלמת הביקורת העצמאית מיוצר לתוכנת לקוח המשמשת לחיבור לשירות ה- VPN של מוזילה.
הביקורת ניתחה יישום לקוח נפרד שנכתב עם ספריית Qt ונמסר עבור Linux, macOS, Windows, Android ו- iOS. Mozilla VPN עובד עם יותר מ -400 שרתים של ספק ה- VPN השבדי Mullvad ביותר מ -30 מדינות. החיבור לשירות ה- VPN מתבצע באמצעות פרוטוקול WireGuard.
הביקורת בוצעה על ידי Cure53, שבדקה בשלב מסוים את הפרויקטים של NTPsec, SecureDrop, Cryptocat, F-Droid ו- Dovecot. השמיעה כללה אימות קוד מקור וכללה בדיקות לזיהוי נקודות תורפה אפשריות (סוגיות הקשורות לקריפטו לא נחשבו). במהלך הביקורת זוהו 16 בעיות אבטחה, מתוכן 8 מהן סוג המלצה, 5 הוקצו לרמת סכנה נמוכה, שתיים - בינוניות ואחת - גבוהות.
כיום פרסמה מוזילה ביקורת אבטחה עצמאית של ה- VPN שלה של Mozilla, המספקת הצפנה ברמת המכשיר והגנה על החיבור והמידע שלך באינטרנט, מאת Cure53, חברת אבטחת סייבר חסרת פניות בברלין עם מעל 15 שנות פעילות. בדיקות תוכנה וביקורת קוד. Mozilla עובדת באופן קבוע עם ארגוני צד שלישי כדי להשלים את תוכניות האבטחה הפנימית שלנו ולסייע בשיפור האבטחה הכוללת של המוצרים שלנו. במהלך הביקורת העצמאית התגלו שתי סוגיות של חומרה בינונית וחומרה אחת גבוהה. התייחסנו אליהם בפוסט בבלוג זה ופרסמנו את דו"ח ביקורת האבטחה.
עם זאת, מוזכר כי רק בעיה ברמת חומרה בינונית סווג כפגיעות, שכןה היה היחיד שניתן לנצל אותו והדוח מתאר כי בעיה זו הדליפה מידע על שימוש ב- VPN בקוד כדי להגדיר את הפורטל השבוי על ידי שליחת בקשות HTTP ישירות לא מוצפנות מחוץ למנהרת ה- VPN וחושפות את כתובת ה- IP הראשית של המשתמש אם התוקף יכול לשלוט בתעבורה. כמו כן, הדוח מזכיר שהבעיה נפתרה על ידי השבתת מצב זיהוי הפורטל השבוי בהגדרות.
מאז השקתנו בשנה שעברה, Mozilla VPN, שירות הרשת הפרטית הווירטואלית המהירה והנוחה שלנו, התרחב לשבע מדינות, כולל אוסטריה, בלגיה, צרפת, גרמניה, איטליה, ספרד ושוויץ, ל -13 מדינות בסך הכל. היכן ש- VPN של Mozilla זמין. הרחבנו גם את היצע שירותי ה- VPN שלנו והוא זמין כעת בפלטפורמות Windows, Mac, Linux, Android ו- iOS. לבסוף, רשימת השפות שאנו תומכים בה ממשיכה לצמוח ועד היום אנו תומכים ב -28 שפות.
מאידך גיסא הבעיה השנייה שנמצאה היא ברמת החומרה הבינונית והוא קשור לחוסר ניקיון נכון של ערכים לא מספריים במספר היציאה, אשר מאפשר סינון פרמטרי אימות OAuth על ידי החלפת מספר היציאה במחרוזת כמו "1234@example.com", מה שיוביל להגדרת תגי HTML לביצוע הבקשה על ידי גישה לדומיין, למשל example.com במקום 127.0.0.1.
הבעיה השלישית, מסומנת כמסוכנת שהוזכר בדו"ח, מתואר כי זה מאפשר לכל יישום מקומי לא מאומת לגשת ללקוח ה- VPN באמצעות WebSocket המחויב ל- localhost. כדוגמה, מוצג כיצד, עם לקוח VPN פעיל, כל אתר יכול לארגן יצירה ומסירה של צילום מסך על ידי יצירת אירוע screen_capture.
הבעיה לא סווגה כפגיעות מכיוון ש- WebSocket שימש רק בבניית מבחנים פנימיים והשימוש בערוץ תקשורת זה תוכנן רק בעתיד כדי לארגן אינטראקציה עם תוסף הדפדפן.
בסופו של דבר אם אתה מעוניין לדעת יותר על כך לגבי הדו"ח שפרסמה מוזילה, אתה יכול להתייעץ עם פרטים בקישור הבא.
הביקורת לא משנה. יש להם רק 400 שרתים, זה מגוחך, לא משנה כמה ביקורת תעבור אם יש לך רק 400 שרתים, לעומת 3000-6000 שיש ל- VPN כפי שהתכוון אלוהים, ובכן. Vpn של Mozilla הוא kakarruta עם הימים ממוספרים.
תמיד במקום הראשון במדינות העולם הראשון.
@ 400 ספרטנים:
למוזילה אין שרתי VPN משלה, הם עושים שימוש ברשת Mullvad (זה כאילו שכרו את השרתים מהספק השני). הביקורת אכן משנה!