Mozilla는 VPN 클라이언트의 감사 결과를 발표했습니다.

몇일 전에 Mozilla 출시 의 발표의 출판 독립 감사 완료 Mozilla의 VPN 서비스에 연결하는 데 사용되는 클라이언트 소프트웨어로 만들어졌습니다.

감사에서는 Qt 라이브러리로 작성되고 Linux, macOS, Windows, Android 및 iOS용으로 제공되는 별도의 클라이언트 애플리케이션을 분석했습니다. Mozilla VPN은 400개 이상의 국가에 있는 스웨덴 VPN 제공업체 Mullvad의 30개 이상의 서버에서 작동합니다. VPN 서비스에 대한 연결은 WireGuard 프로토콜을 사용하여 이루어집니다.

Cure53이 감사를 수행했습니다., 한 시점에서 NTPsec, SecureDrop, Cryptocat, F-Droid 및 Dovecot 프로젝트를 감사했습니다. 청각 잠재적인 취약점을 식별하기 위한 관련 소스 코드 검증 및 포함된 테스트 (암호화 관련 문제는 고려되지 않았습니다.) 감사 기간 동안 16개의 보안 문제가 식별되었으며 그 중 8개는 권장 유형, 5개는 낮은 위험 수준, XNUMX개는 중간, XNUMX개는 높음으로 할당되었습니다.

오늘 Mozilla는 53년 이상 운영된 베를린에 기반을 둔 공정한 사이버 보안 회사인 Cure15에서 웹에 있을 때 장치 수준 암호화와 연결 및 정보 보호를 제공하는 Mozilla VPN에 대한 독립적인 보안 감사를 발표했습니다. 소프트웨어 테스트 및 코드 감사. Mozilla는 내부 보안 프로그램을 보완하고 제품의 전반적인 보안을 개선하기 위해 제XNUMX자 조직과 정기적으로 협력합니다. 독립적인 감사 중에 중간 심각도와 높은 심각도의 두 가지 문제가 발견되었습니다. 이 블로그 게시물에서 이를 해결하고 보안 감사 보고서를 게시했습니다.

그러나 다음과 같이 언급됩니다. 중간 심각도 수준의 문제 취약점으로 분류되었기 때문에e는 악용 가능한 유일한 사람이었습니다. 보고서에 따르면 공격자가 전송 트래픽을 제어할 수 있는 경우 사용자의 기본 IP 주소를 노출하는 암호화되지 않은 직접 HTTP 요청을 VPN 터널 외부로 전송하여 캡티브 포털을 정의하는 코드에서 이 문제가 VPN 사용 정보를 누출하고 있다고 설명합니다. 또한 보고서는 설정에서 종속 포털 감지 모드를 비활성화하여 문제가 해결되었다고 언급합니다.

작년 출시 이후 빠르고 사용하기 쉬운 가상 사설망 서비스인 Mozilla VPN은 오스트리아, 벨기에, 프랑스, ​​독일, 이탈리아, 스페인, 스위스 등 13개국 총 28개국으로 확장되었습니다. Mozilla VPN을 사용할 수 있는 곳. 또한 VPN 서비스 제공을 확장했으며 이제 Windows, Mac, Linux, Android 및 iOS 플랫폼에서 사용할 수 있습니다. 마지막으로 지원하는 언어 목록은 계속해서 늘어나고 있으며 현재까지 XNUMX개 언어를 지원합니다.

그 위에 발견된 두 번째 문제는 중간 심각도 수준입니다. 포트 번호에서 숫자가 아닌 값을 적절하게 정리하지 못하는 것과 관련이 있습니다. OAuth 인증 매개변수 필터링 허용 포트 번호를 "1234@example.com"과 같은 문자열로 바꾸면 HTML 태그가 설정되어 도메인에 액세스하여 요청하게 됩니다(예: 127.0.0.1 대신 example.com).

위험한 것으로 표시된 세 번째 문제 보고서에 언급된 바와 같이 이를 통해 인증되지 않은 로컬 애플리케이션이 localhost에 바인딩된 WebSocket을 통해 VPN 클라이언트에 액세스할 수 있습니다. 예를 들어 활성 VPN 클라이언트를 사용하여 모든 사이트에서 screen_capture 이벤트를 생성하여 스크린샷 생성 및 전달을 구성할 수 있는 방법을 보여줍니다.

WebSocket은 내부 테스트 빌드에서만 사용되었으며 이 통신 채널은 브라우저 플러그인과의 상호 작용을 구성하기 위해 향후에만 계획되어 있기 때문에 문제는 취약점으로 분류되지 않았습니다.

최종적으로 그것에 대해 더 많이 알고 싶다면 Mozilla에서 발표한 보고서에 대해서는 다음을 참조하십시오. 다음 링크에서 세부 사항.