MozillaはVPNクライアントの監査結果を発表しました

数日前 Mozillaがリリースされました の発表の出版 独立監査の完了 MozillaのVPNサービスへの接続に使用されるクライアントソフトウェアに対して作成されました。

監査では、Qtライブラリで記述され、Linux、macOS、Windows、Android、およびiOS向けに提供された別のクライアントアプリケーションを分析しました。 Mozilla VPNは、400か国以上にあるスウェーデンのVPNプロバイダーMullvadの30を超えるサーバーと連携します。 VPNサービスへの接続は、WireGuardプロトコルを使用して行われます。

監査はCure53によって実行されました、ある時点でNTPsec、SecureDrop、Cryptocat、F-Droid、およびDovecotプロジェクトを監査しました。 聴覚 ソースコードの検証と、潜在的な脆弱性を特定するためのテストが含まれていました （暗号関連の問題は考慮されていません）。 監査中に、16のセキュリティ問題が特定され、そのうち8つは推奨タイプ、5つは低ハザードレベル、XNUMXつは中程度、XNUMXつは高レベルに割り当てられました。

本日、MozillaはMozilla VPNの独立したセキュリティ監査をリリースしました。これは、53年以上の運用を行っているベルリンを拠点とする公平なサイバーセキュリティ企業であるCure15から、デバイスレベルの暗号化とWeb上の接続と情報の保護を提供します。 ソフトウェアテストとコード監査。 Mozillaは、サードパーティ組織と定期的に連携して、内部セキュリティプログラムを補完し、製品の全体的なセキュリティの向上を支援しています。 独立監査中に、中程度の重大度とXNUMXつの高重大度のXNUMXつの問題が発見されました。 このブログ投稿でそれらに対処し、セキュリティ監査レポートを公開しました。

しかし、それは言及されています 中程度の重大度レベルの問題 以来、脆弱性として分類されました悪用可能なのはeだけでした レポートでは、攻撃者がトランジットトラフィックを制御できる場合、この問題がVPNトンネルの外部に暗号化されていない直接HTTPリクエストを送信して、ユーザーのプライマリIPアドレスを公開することにより、キャプティブポータルを定義するコードでVPN使用情報を漏えいしていたと説明しています。 また、レポートには、設定でキャプティブポータル検出モードを無効にすることで問題が解決されることが記載されています。

昨年の立ち上げ以来、高速で使いやすい仮想プライベートネットワークサービスであるMozilla VPNは、オーストリア、ベルギー、フランス、ドイツ、イタリア、スペイン、スイスを含む13か国、合計28か国に拡大しています。 。MozillaVPNが利用できる場所。 また、VPNサービスの提供を拡大し、Windows、Mac、Linux、Android、およびiOSプラットフォームで利用できるようになりました。 最後に、私たちがサポートする言語のリストは増え続けており、現在までにXNUMXの言語をサポートしています。

さらに 見つかったXNUMX番目の問題は、中程度の重大度レベルです。 そして、ポート番号の非数値の適切なクリーニングの欠如に関連しています、それは OAuth認証パラメーターのフィルタリングを許可します ポート番号を「1234@example.com」のような文字列に置き換えると、127.0.0.1ではなくexample.comなどのドメインにアクセスしてリクエストを行うHTMLタグが設定されます。

危険とマークされたXNUMX番目の問題 レポートに記載されているように、 これにより、認証されていないローカルアプリケーションは、ローカルホストにバインドされたWebSocketを介してVPNクライアントにアクセスできます。 例として、アクティブなVPNクライアントを使用して、どのサイトでもscreen_captureイベントを生成することにより、スクリーンショットの作成と配信を整理する方法を示します。

WebSocketは内部テストビルドでのみ使用され、この通信チャネルの使用はブラウザプラグインとの対話を整理するために将来的にのみ計画されていたため、この問題は脆弱性として分類されませんでした。

最後に あなたがそれについてもっと知りたいなら Mozillaがリリースしたレポートについては、 詳細は次のリンクをご覧ください。