Mozilla izlaida sava VPN klienta revīzijas rezultātus

Pirms dažām dienām Mozilla atbrīvota gada paziņojuma publicēšanu neatkarīgās revīzijas pabeigšana izveidots klienta programmatūrā, kas tiek izmantota, lai izveidotu savienojumu ar Mozilla VPN pakalpojumu.

Revīzijā tika analizēta atsevišķa klienta lietojumprogramma, kas rakstīta ar Qt bibliotēku un piegādāta operētājsistēmām Linux, macOS, Windows, Android un iOS. Mozilla VPN darbojas ar vairāk nekā 400 serveriem no Zviedrijas VPN pakalpojumu sniedzēja Mullvad vairāk nekā 30 valstīs. Savienojums ar VPN pakalpojumu tiek veikts, izmantojot WireGuard protokolu.

Auditu veica Cure53, kas vienā brīdī revidēja NTPsec, SecureDrop, Cryptocat, F-Droid un Dovecot projektus. Dzirdes ietvēra pirmkoda pārbaudi un testus, lai identificētu iespējamās ievainojamības (Ar kriptogrāfiju saistītās problēmas netika izskatītas.) Revīzijas laikā tika konstatētas 16 drošības problēmas, no kurām 8 bija ieteikuma tipa, 5 - zema bīstamības līmeņa, divas - vidējas un viena - augsta.

Šodien Mozilla izlaida neatkarīgu sava Mozilla VPN drošības auditu, kas nodrošina ierīces līmeņa šifrēšanu un jūsu savienojuma un informācijas aizsardzību tīmeklī, no Cure53, Berlīnē esošas objektīvas kiberdrošības kompānijas, kas darbojas vairāk nekā 15 gadus. programmatūras testēšana un koda audits. Mozilla regulāri sadarbojas ar trešo pušu organizācijām, lai papildinātu mūsu iekšējās drošības programmas un palīdzētu uzlabot mūsu produktu vispārējo drošību. Neatkarīgās revīzijas laikā tika atklāti divi vidēja un viens smags jautājums. Mēs tos apskatījām šajā emuāra ierakstā un publicējām drošības audita ziņojumu.

Tomēr tiek minēts, ka tikai problēma ar vidēju smaguma pakāpi tika klasificēta kā ievainojamība, joe bija vienīgais, ko varēja izmantot un pārskatā ir aprakstīts, ka šīs problēmas dēļ tika noplūda VPN lietošanas informācija kodā, lai definētu saistošo portālu, nosūtot nešifrētus tiešus HTTP pieprasījumus ārpus VPN tuneļa, atklājot lietotāja primāro IP adresi, ja uzbrucējs var kontrolēt tranzīta trafiku. Pārskatā arī minēts, ka problēma ir atrisināta, iestatījumos atspējojot gūstītā portāla noteikšanas režīmu.

Kopš mūsu darbības uzsākšanas pagājušajā gadā Mozilla VPN, mūsu ātrais un viegli lietojamais virtuālā privātā tīkla pakalpojums, ir paplašinājies līdz septiņām valstīm, ieskaitot Austriju, Beļģiju, Franciju, Vāciju, Itāliju, Spāniju un Šveici, kopumā 13 valstīs kur ir pieejams Mozilla VPN. Mēs arī paplašinājām savus VPN pakalpojumu piedāvājumus, un tas tagad ir pieejams Windows, Mac, Linux, Android un iOS platformās. Visbeidzot, mūsu atbalstīto valodu saraksts turpina pieaugt, un līdz šim mēs atbalstām 28 valodas.

No otras puses otra konstatētā problēma ir vidēja smaguma pakāpe un tas ir saistīts ar to, ka porta numurā nav pienācīgi iztīrīti neciparu vērtības, kuras ļauj filtrēt OAuth autentifikācijas parametrus aizstājot porta numuru ar virkni, piemēram, "1234@example.com", kas novedīs pie HTML tagu iestatīšanas, lai veiktu pieprasījumu, piekļūstot domēnam, piemēram, example.com, nevis 127.0.0.1.

Trešā problēma, kas atzīmēta kā bīstama minēts ziņojumā, ir aprakstīts, ka Tas ļauj jebkurai neautentificētai vietējai lietojumprogrammai piekļūt VPN klientam, izmantojot WebSocket, kas saistīta ar localhost. Piemēram, tas parāda, kā ar aktīvu VPN klientu jebkura vietne varētu organizēt ekrānuzņēmuma izveidi un piegādi, paaugstinot notikumu screen_capture.

Problēma netika klasificēta kā ievainojamība, jo WebSocket tika izmantota tikai iekšējās pārbaudes versijās, un šī saziņas kanāla izmantošana tika plānota tikai nākotnē, lai organizētu mijiedarbību ar pārlūkprogrammas spraudni.

Beidzot ja jūs interesē uzzināt vairāk par to Par Mozilla publicēto ziņojumu varat iepazīties ar sīkāka informācija šajā saitē.