Paar dagen geleden Mozilla uitgebracht de publicatie van de aankondiging van de afronding van de onafhankelijke audit gemaakt naar clientsoftware die wordt gebruikt om verbinding te maken met de VPN-service van Mozilla.
De audit analyseerde een afzonderlijke clienttoepassing die is geschreven met de Qt-bibliotheek en is geleverd voor Linux, macOS, Windows, Android en iOS. Mozilla VPN werkt met meer dan 400 servers van de Zweedse VPN-provider Mullvad in meer dan 30 landen. De verbinding met de VPN-service wordt gemaakt met behulp van het WireGuard-protocol.
De audit is uitgevoerd door Cure53, die op een gegeven moment de NTPsec-, SecureDrop-, Cryptocat-, F-Droid- en Dovecot-projecten controleerde. het auditieve omvatte broncodeverificatie en omvatte testen om mogelijke kwetsbaarheden te identificeren (Crypto-gerelateerde problemen werden niet in overweging genomen). Tijdens de audit werden 16 beveiligingsproblemen geïdentificeerd, waarvan 8 van het type aanbeveling, 5 met een laag risiconiveau, twee - gemiddeld en één - hoog.
Vandaag heeft Mozilla een onafhankelijke beveiligingsaudit uitgebracht van zijn Mozilla VPN, die codering op apparaatniveau en bescherming van uw verbinding en informatie op internet biedt, van Cure53, een in Berlijn gevestigd onpartijdig cyberbeveiligingsbedrijf met meer dan 15 jaar ervaring. software testen en code auditing. Mozilla werkt regelmatig samen met externe organisaties om onze interne beveiligingsprogramma's aan te vullen en de algehele beveiliging van onze producten te helpen verbeteren. Tijdens de onafhankelijke audit werden twee problemen van gemiddelde ernst en één van hoge ernst ontdekt. We hebben ze in deze blogpost behandeld en het beveiligingsauditrapport gepubliceerd.
Er wordt echter vermeld dat gewoon een probleem met een gemiddeld ernstniveau werd geclassificeerd als een kwetsbaarheid, aangeziene was de enige die misbruikt kon worden en het rapport beschrijft dat dit probleem VPN-gebruiksinformatie in code lekte om de captive portal te definiëren door niet-versleutelde directe HTTP-verzoeken buiten de VPN-tunnel te verzenden, waardoor het primaire IP-adres van de gebruiker wordt vrijgegeven als een aanvaller transitverkeer kan controleren. Het rapport vermeldt ook dat het probleem is opgelost door de Captive Portal-detectiemodus in de instellingen uit te schakelen.
Sinds onze lancering vorig jaar is Mozilla VPN, onze snelle en gebruiksvriendelijke virtuele privénetwerkdienst, uitgebreid naar zeven landen, waaronder Oostenrijk, België, Frankrijk, Duitsland, Italië, Spanje en Zwitserland, voor in totaal 13 landen waar Mozilla VPN beschikbaar is. We hebben ook ons VPN-serviceaanbod uitgebreid en het is nu beschikbaar op Windows-, Mac-, Linux-, Android- en iOS-platforms. Ten slotte blijft onze lijst met talen die we ondersteunen groeien en tot op heden ondersteunen we 28 talen.
Bovendien het tweede probleem dat werd gevonden, ligt op het niveau van gemiddelde ernst en is gerelateerd aan het ontbreken van een goede reiniging van niet-numerieke waarden in het poortnummer, wat: maakt filteren van OAuth-authenticatieparameters mogelijk door het poortnummer te vervangen door een string zoals "1234@example.com", wat zal leiden tot de instelling van HTML-tags om het verzoek te doen door toegang te krijgen tot het domein, bijvoorbeeld example.com in plaats van 127.0.0.1.
Het derde probleem, gemarkeerd als gevaarlijk vermeld in het rapport, wordt beschreven dat: Hierdoor kan elke niet-geverifieerde lokale toepassing toegang krijgen tot de VPN-client via een WebSocket die is gekoppeld aan localhost. Als voorbeeld wordt getoond hoe elke site met een actieve VPN-client de creatie en levering van een screenshot kan organiseren door de gebeurtenis screen_capture te genereren.
Het probleem werd niet geclassificeerd als een kwetsbaarheid omdat WebSocket alleen werd gebruikt in interne testversies en het gebruik van dit communicatiekanaal in de toekomst alleen was gepland om interactie met de browserplug-in te organiseren.
Eindelijk als u er meer over wilt weten Over het rapport dat door Mozilla is uitgebracht, kunt u de: details in de volgende link.
De controle maakt niet uit. Ze hebben slechts 400 servers, dat is belachelijk, hoeveel audits je ook doormaakt als je maar 400 servers hebt, vergeleken met 3000-6000 die de VPN's hebben zoals God het bedoeld heeft, nou dat. Mozilla vpn is een kakarruta met de dagen genummerd.
Altijd top eerste in eerste wereld landen.
@ 400 Spartanen:
Mozilla heeft geen eigen VPN-servers in gebruik, ze maken gebruik van het Mullvad-netwerk (het is alsof ze de servers van de andere provider hebben gehuurd). De controle doet ertoe!