„Mozilla“ paskelbė savo VPN kliento audito rezultatus

Prieš kelias dienas „Mozilla“ išleista paskelbimo apie nepriklausomo audito užbaigimas sukurtas kliento programinei įrangai, kuri naudojama prisijungti prie „Mozilla“ VPN paslaugos.

Audito metu buvo išanalizuota atskira kliento programa, parašyta naudojant „Qt“ biblioteką ir pristatyta „Linux“, „MacOS“, „Windows“, „Android“ ir „iOS“. „Mozilla VPN“ dirba su daugiau nei 400 Švedijos VPT teikėjo „Mullvad“ serverių daugiau nei 30 šalių. Prisijungimas prie VPN paslaugos atliekamas naudojant „WireGuard“ protokolą.

Auditą atliko „Cure53“, kuris vienu metu auditavo NTPsec, SecureDrop, Cryptocat, F-Droid ir Dovecot projektus. Klausos apėmė šaltinio kodo tikrinimą ir bandymus, kad nustatytų galimus pažeidžiamumus (Su kriptovaliuta susiję klausimai nebuvo svarstomi). Atliekant auditą buvo nustatyta 16 saugumo problemų, iš kurių 8 buvo rekomendacinio tipo, 5 - mažo pavojaus lygio, dvi - vidutinės ir viena - didelės.

Šiandien „Mozilla“ iš „Cure53“, Berlyne įsikūrusios nešališkos kibernetinio saugumo įmonės, dirbančios daugiau nei 15 metų, išleido nepriklausomą savo „Mozilla“ VPN, kuris užtikrina įrenginio lygio šifravimą ir apsaugo jūsų ryšį bei informaciją žiniatinklyje, saugumo auditą. programinės įrangos testavimas ir kodo auditas. „Mozilla“ reguliariai bendradarbiauja su trečiųjų šalių organizacijomis, kad papildytų mūsų vidaus saugumo programas ir padėtų pagerinti bendrą mūsų produktų saugumą. Nepriklausomo audito metu buvo aptiktos dvi vidutinio sunkumo ir viena didelio sunkumo problemos. Šiame tinklaraščio įraše apie juos kalbėjome ir paskelbėme saugumo audito ataskaitą.

Tačiau minima, kad tik vidutinio sunkumo problema buvo klasifikuojamas kaip pažeidžiamumas, nese buvo vienintelis, kuriuo buvo galima pasinaudoti ir ataskaitoje aprašoma, kad dėl šios problemos buvo nutekinta VPN naudojimo informacija kodu, kad būtų galima apibrėžti uždarąjį portalą, siunčiant nešifruotas tiesiogines HTTP užklausas už VPN tunelio ribų, atskleidžiant pagrindinį vartotojo IP adresą, jei užpuolikas gali valdyti tranzito srautą. Be to, ataskaitoje minima, kad problema išspręsta nustatymuose išjungus nelaisvės portalo aptikimo režimą.

Nuo praėjusių metų pradžios „Mozilla VPN“, mūsų greita ir paprasta naudoti virtualiojo privataus tinklo paslauga, išplečiama iki septynių šalių, įskaitant Austriją, Belgiją, Prancūziją, Vokietiją, Italiją, Ispaniją ir Šveicariją, iš viso 13 šalių . kur yra „Mozilla VPN“. Taip pat išplėtėme savo VPN paslaugų pasiūlą ir ji dabar prieinama „Windows“, „Mac“, „Linux“, „Android“ ir „iOS“ platformose. Galiausiai mūsų palaikomų kalbų sąrašas nuolat auga ir iki šiol palaikome 28 kalbas.

Kita vertus antroji nustatyta problema yra vidutinio sunkumo lygis ir yra susijęs su tinkamo neskaitinių reikšmių valymu uosto numeryje, kuris leidžia filtruoti „OAuth“ autentifikavimo parametrus pakeisdami prievado numerį eilute, pvz., „1234@example.com“, dėl to bus nustatytos HTML žymos, kad užklausa būtų pateikta prieigai prie domeno, pvz., example.com, o ne 127.0.0.1.

Trečioji problema, pažymėta kaip pavojinga minimas ataskaitoje, aprašyta, kad Tai leidžia bet kuriai nepatvirtintai vietinei programai pasiekti VPN klientą per „WebSocket“, susietą su „localhost“. Kaip pavyzdys parodyta, kaip su aktyviu VPN klientu bet kuri svetainė galėtų organizuoti ekrano kopijos kūrimą ir pristatymą generuodama įvykį „screen_capture“.

Problema nebuvo klasifikuojama kaip pažeidžiamumas, nes „WebSocket“ buvo naudojama tik vidiniuose bandymuose, o ateityje šis komunikacijos kanalas buvo planuojamas tik sąveikai su naršyklės papildiniu organizuoti.

Pagaliau jei norite sužinoti daugiau apie tai Apie „Mozilla“ paskelbtą ataskaitą galite paskaityti išsami informacija šioje nuorodoje.