Hace pocos dias Mozilla dio a conocer la publicación del anunció de la finalización la auditoría independiente realizada a un software de cliente que es utilizado para conectarse al servicio VPN de Mozilla.
La auditoría analizó una aplicación cliente independiente escrita con la biblioteca Qt y entregada para Linux, macOS, Windows, Android e iOS. Mozilla VPN funciona con más de 400 servidores del proveedor de VPN sueco Mullvad en más de 30 países. La conexión al servicio VPN se realiza mediante el protocolo WireGuard.
La auditoría fue realizada por Cure53, que en un momento auditó los proyectos NTPsec, SecureDrop, Cryptocat, F-Droid y Dovecot. La auditoría implicó la verificación del código fuente e incluyó pruebas para identificar posibles vulnerabilidades (no se consideraron los problemas relacionados con la criptografía). Durante la auditoría, se identificaron 16 problemas de seguridad, 8 de los cuales fueron de tipo recomendación, a 5 se les asignó un nivel de peligro bajo, dos – medio y uno – alto.
Hoy, Mozilla publicó una auditoría de seguridad independiente de su VPN Mozilla , que proporciona cifrado y protección a nivel de dispositivo de su conexión e información cuando está en la Web, de Cure53 , una empresa de ciberseguridad imparcial con sede en Berlín con más de 15 años de funcionamiento. pruebas de software y auditoría de códigos. Mozilla trabaja periódicamente con organizaciones de terceros para complementar nuestros programas de seguridad interna y ayudar a mejorar la seguridad general de nuestros productos. Durante la auditoría independiente, se descubrieron dos problemas de gravedad media y uno alto. Los hemos abordado en esta publicación de blog y hemos publicado el informe de auditoría de seguridad .
Sin embargo, se menciona que solo un problema con un nivel de gravedad medio se clasificó como vulnerabilidad, ya que era el único que era explotable y en el informe se describe que este problema estaba filtrando información de uso de la VPN en el código para definir el portal cautivo mediante el envío de solicitudes HTTP directas sin cifrar fuera del túnel VPN que exponen la dirección IP principal del usuario si un atacante puede controlar el tráfico de tránsito. Además, en el informe se menciona que el problema se resuelve desactivando el modo de detección del portal cautivo en la configuración.
Desde nuestro lanzamiento el año pasado, Mozilla VPN , nuestro servicio de red privada virtual rápido y fácil de usar , se ha expandido a siete países, incluidos Austria, Bélgica, Francia, Alemania, Italia, España y Suiza, sumando un total de 13 países donde Mozilla VPN está disponible. También ampliamos nuestras ofertas de servicios de VPN y ahora está disponible en las plataformas Windows, Mac, Linux, Android e iOS. Por último, nuestra lista de idiomas que admitimos sigue creciendo y, hasta la fecha, admitimos 28 idiomas.
Por otra parte el segundo problema que fue encontrado está en el nivel de gravedad medio y está relacionado con la falta de limpieza adecuada de valores no numéricos en el número de puerto, lo que permite filtrar los parámetros de autenticación de OAuth al reemplazar el número de puerto con una cadena como «1234@example.com», que conducirá a la configuración de etiquetas HTML para hacer la solicitud accediendo al dominio, por ejemplo example.com en lugar de 127.0.0.1.
El tercer problema, marcado como peligroso que se menciona en el informe, se describe que este permite que cualquier aplicación local sin autenticación acceda al cliente VPN a través de un WebSocket vinculado a localhost. A modo de ejemplo, se muestra cómo, con un cliente VPN activo, cualquier sitio podría organizar la creación y envío de una captura de pantalla generando el evento screen_capture.
El problema no se clasificó como una vulnerabilidad, ya que WebSocket se usó solo en compilaciones de prueba internas y el uso de este canal de comunicación solo se planeó en el futuro para organizar la interacción con el complemento del navegador.
Finalmente si estás interesado en poder conocer más al respecto sobre el informe que dio a conocer Mozilla, puedes consultar los detalles en el siguiente enlace.
Da igual la auditoría. Tienen tan solo 400 servidores, eso es una ridiculez, por mucha auditoría que pases si solo tienes 400 servidores, frente a 3000-6000 que tienen las vpns como dios manda, pues eso. Mozilla vpn es una kakarruta con los días contados.
Encima siempre primero en los países de primer mundo.
@400espartanos:
Mozilla no tiene desplegado servidores vpn propios, ellos hacen uso de la red de Mullvad (es como si le alquilaran los servidores al otro proveedor). ¡La auditoría sí que importa!