Mozilla mengeluarkan hasil audit klien VPNnya

Beberapa hari yang lalu Mozilla dilepaskan penerbitan pengumuman penyelesaian audit bebas dibuat untuk perisian pelanggan yang digunakan untuk menyambung ke perkhidmatan VPN Mozilla.

Audit menganalisis aplikasi klien yang terpisah yang ditulis dengan perpustakaan Qt dan disampaikan untuk Linux, macOS, Windows, Android, dan iOS. Mozilla VPN berfungsi dengan lebih daripada 400 pelayan dari penyedia VPN Sweden Mullvad di lebih dari 30 negara. Sambungan ke perkhidmatan VPN dibuat menggunakan protokol WireGuard.

Pengauditan dilakukan oleh Cure53, yang pada satu ketika mengaudit projek NTPsec, SecureDrop, Cryptocat, F-Droid, dan Dovecot. Auditori melibatkan pengesahan kod sumber dan ujian yang disertakan untuk mengenal pasti potensi kelemahan (Masalah berkaitan Crypto tidak dipertimbangkan). Semasa audit, 16 masalah keselamatan dikenal pasti, 8 di antaranya adalah jenis cadangan, 5 diberi tahap bahaya rendah, dua menengah dan satu tinggi.

Hari ini, Mozilla melancarkan audit keselamatan bebas dari VPN Mozilla-nya, yang menyediakan enkripsi peringkat dan perlindungan sambungan dan maklumat anda ketika di web, dari Cure53, sebuah syarikat keselamatan siber yang berpusat di Berlin dengan lebih dari 15 tahun beroperasi. ujian perisian dan pengauditan kod. Mozilla bekerja secara berkala dengan organisasi pihak ketiga untuk menambah program keselamatan dalaman kami dan membantu meningkatkan keselamatan keseluruhan produk kami. Semasa audit bebas, dua masalah keparahan sederhana dan satu keparahan tinggi ditemui. Kami telah mengalamatkannya dalam catatan blog ini dan menerbitkan laporan audit keselamatan.

Walau bagaimanapun, disebutkan bahawa hanya masalah dengan tahap keparahan sederhana sejak itu diklasifikasikan sebagai kerentanane adalah satu-satunya yang dapat dieksploitasi dan laporan tersebut menjelaskan bahawa masalah ini membocorkan maklumat penggunaan VPN dalam kod untuk menentukan portal tawanan dengan mengirimkan permintaan HTTP langsung yang tidak dienkripsi di luar terowong VPN yang memperlihatkan alamat IP utama pengguna jika penyerang dapat mengawal lalu lintas transit. Juga, laporan menyebutkan bahwa masalah ini diselesaikan dengan menonaktifkan Mode Deteksi Portal Tangkap dalam tetapan.

Sejak dilancarkan tahun lalu, Mozilla VPN, perkhidmatan rangkaian persendirian maya kami yang pantas dan mudah digunakan, telah berkembang ke tujuh negara, termasuk Austria, Belgium, Perancis, Jerman, Itali, Sepanyol, dan Switzerland, untuk sejumlah 13 negara di mana Mozilla VPN tersedia. Kami juga memperluas penawaran perkhidmatan VPN kami dan kini tersedia di platform Windows, Mac, Linux, Android dan iOS. Terakhir, senarai bahasa yang kami sokong terus berkembang dan sehingga kini, kami menyokong 28 bahasa.

Sebaliknya masalah kedua yang dijumpai adalah pada tahap keparahan sederhana dan berkaitan dengan kurangnya pembersihan nilai bukan numerik yang tepat dalam bilangan port, yang membenarkan penapisan parameter pengesahan OAuth dengan mengganti nombor port dengan rentetan seperti "1234@example.com", yang akan menyebabkan pengaturan tag HTML untuk membuat permintaan dengan mengakses domain, misalnya example.com dan bukan 127.0.0.1.

Masalah ketiga, ditandakan sebagai berbahaya disebut dalam laporan, dijelaskan bahawa Ini membolehkan sebarang aplikasi tempatan yang tidak disahkan untuk mengakses klien VPN melalui WebSocket yang terikat dengan localhost. Sebagai contoh, ditunjukkan bagaimana, dengan klien VPN aktif, mana-mana laman web dapat mengatur pembuatan dan pengiriman tangkapan layar dengan menghasilkan peristiwa screen_capture.

Masalahnya tidak diklasifikasikan sebagai kerentanan kerana WebSocket hanya digunakan dalam ujian dalaman dan penggunaan saluran komunikasi ini hanya dirancang pada masa akan datang untuk mengatur interaksi dengan pemalam penyemak imbas.

Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya Mengenai laporan yang dikeluarkan oleh Mozilla, anda boleh berjumpa dengan perincian dalam pautan berikut.