Mozilla ga ut revisjonsresultatene til VPN -klienten

Noen dager siden Mozilla løslatt offentliggjøring av kunngjøringen av fullføring av den uavhengige revisjonen laget til klientprogramvare som brukes til å koble til Mozillas VPN -tjeneste.

Tilsynet analyserte en egen klientapplikasjon skrevet med Qt -biblioteket og levert for Linux, macOS, Windows, Android og iOS. Mozilla VPN fungerer med mer enn 400 servere fra den svenske VPN -leverandøren Mullvad i mer enn 30 land. Tilkoblingen til VPN -tjenesten opprettes ved hjelp av WireGuard -protokollen.

Tilsynet ble utført av Cure53, som på et tidspunkt reviderte prosjektene NTPsec, SecureDrop, Cryptocat, F-Droid og Dovecot. Det auditive involverte kildekodeverifisering og inkluderte tester for å identifisere potensielle sårbarheter (Kryptorelaterte problemer ble ikke vurdert). Under tilsynet ble det identifisert 16 sikkerhetsproblemer, hvorav 8 var anbefalingstype, 5 ble tildelt et lavt farenivå, to - middels og ett - høyt.

I dag ga Mozilla ut en uavhengig sikkerhetsrevisjon av sitt Mozilla VPN, som gir kryptering på enhetsnivå og beskyttelse av tilkoblingen og informasjonen din når du er på nettet, fra Cure53, et Berlin-basert upartisk cybersikkerhetsselskap med over 15 års drift. programvaretesting og kodekontroll. Mozilla jobber regelmessig med tredjepartsorganisasjoner for å supplere våre interne sikkerhetsprogrammer og bidra til å forbedre den generelle sikkerheten til produktene våre. Under den uavhengige revisjonen ble to problemstillinger av middels alvorlighetsgrad og en høy alvorlighetsgrad oppdaget. Vi har adressert dem i dette blogginnlegget og publisert sikkerhetsrevisjonsrapporten.

Imidlertid nevnes det bare et problem med middels alvorlighetsgrad ble klassifisert som en sårbarhet sidene var den eneste som kunne utnyttes og rapporten beskriver at dette problemet lekker informasjon om VPN -bruk i kode for å definere portalen ved å sende ukrypterte direkte HTTP -forespørsler utenfor VPN -tunnelen og avsløre brukerens primære IP -adresse hvis en angriper kan kontrollere transittrafikk. Rapporten nevner også at problemet er løst ved å deaktivere Capture Portal Detection Mode i innstillingene.

Siden lanseringen i fjor har Mozilla VPN, vår raske og brukervennlige virtuelle private nettverkstjeneste, utvidet seg til syv land, inkludert Østerrike, Belgia, Frankrike, Tyskland, Italia, Spania og Sveits, for totalt 13 land . hvor Mozilla VPN er tilgjengelig. Vi utvidet også våre VPN -tjenestetilbud, og det er nå tilgjengelig på Windows, Mac, Linux, Android og iOS -plattformer. Til slutt fortsetter listen over språk som vi støtter å vokse, og til dags dato støtter vi 28 språk.

På den annen side det andre problemet som ble funnet er i middels alvorlighetsgrad og er relatert til mangelen på riktig rengjøring av ikke-numeriske verdier i portnummeret, som tillater filtrering av OAuth -autentiseringsparametere ved å erstatte portnummeret med en streng som "1234@example.com", som vil føre til at HTML -tagger kan angi forespørselen ved å få tilgang til domenet, for eksempel example.com i stedet for 127.0.0.1.

Det tredje problemet, merket som farlig nevnt i rapporten, er det beskrevet at Dette tillater enhver ikke -godkjent lokal applikasjon å få tilgang til VPN -klienten via en WebSocket bundet til localhost. Som et eksempel er det vist hvordan et nettsted med en aktiv VPN -klient kan organisere opprettelse og levering av et skjermbilde ved å generere screen_capture -hendelsen.

Problemet ble ikke klassifisert som et sårbarhet ettersom WebSocket bare ble brukt i interne testbygginger, og bruken av denne kommunikasjonskanalen ble bare planlagt i fremtiden for å organisere interaksjon med nettleser -plugin.

Endelig hvis du er interessert i å vite mer om det Om rapporten utgitt av Mozilla, kan du konsultere detaljer i følgende lenke.