Alguns dias atrás Mozilla lançado a publicação do anúncio de a conclusão da auditoria independente feito para o software cliente que é usado para se conectar ao serviço VPN da Mozilla.
A auditoria analisou um aplicativo cliente separado escrito com a biblioteca Qt e entregue para Linux, macOS, Windows, Android e iOS. O Mozilla VPN funciona com mais de 400 servidores do provedor sueco de VPN Mullvad em mais de 30 países. A conexão com o serviço VPN é feita usando o protocolo WireGuard.
A auditoria foi realizada por Cure 53, que em um ponto auditou os projetos NTPsec, SecureDrop, Cryptocat, F-Droid e Dovecot. O auditivo envolveu a verificação do código-fonte e incluiu testes para identificar vulnerabilidades potenciais (Questões relacionadas à criptografia não foram consideradas). Durante a auditoria, foram identificados 16 problemas de segurança, 8 dos quais eram do tipo recomendação, 5 foram atribuídos a um nível de risco baixo, dois - médio e um - alto.
Hoje, a Mozilla lançou uma auditoria de segurança independente de seu Mozilla VPN, que fornece criptografia em nível de dispositivo e proteção de sua conexão e informações quando na web, da Cure53, uma empresa de segurança cibernética imparcial com sede em Berlim com mais de 15 anos de operação. teste de software e auditoria de código. A Mozilla trabalha regularmente com organizações terceirizadas para complementar nossos programas de segurança interna e ajudar a melhorar a segurança geral de nossos produtos. Durante a auditoria independente, foram descobertos dois problemas de gravidade média e um de gravidade alta. Nós os abordamos nesta postagem do blog e publicamos o relatório de auditoria de segurança.
No entanto, é mencionado que apenas um problema com um nível de gravidade médio foi classificado como uma vulnerabilidade, uma vez quee era o único que era explorável e o relatório descreve que esse problema estava vazando informações de uso de VPN no código para definir o portal cativo, enviando solicitações HTTP diretas não criptografadas fora do túnel VPN, expondo o endereço IP primário do usuário se um invasor puder controlar o tráfego de trânsito. Além disso, o relatório menciona que o problema é resolvido desativando o modo de detecção do portal cativo nas configurações.
Desde o nosso lançamento no ano passado, o Mozilla VPN, nosso serviço de rede privada virtual rápido e fácil de usar, se expandiu para sete países, incluindo Áustria, Bélgica, França, Alemanha, Itália, Espanha e Suíça, para um total de 13 países onde o Mozilla VPN está disponível. Também expandimos nossas ofertas de serviços VPN e agora estão disponíveis nas plataformas Windows, Mac, Linux, Android e iOS. Por fim, nossa lista de idiomas para os quais oferecemos suporte continua crescendo e, até o momento, oferecemos suporte para 28 idiomas.
Por outro lado o segundo problema encontrado está no nível de gravidade médio e está relacionado à falta de limpeza adequada de valores não numéricos no número da porta, que permite filtrar parâmetros de autenticação OAuth substituindo o número da porta por uma string como "1234@example.com", o que levará à configuração de tags HTML para fazer a solicitação acessando o domínio, por exemplo example.com em vez de 127.0.0.1.
O terceiro problema, marcado como perigoso mencionado no relatório, é descrito que Isso permite que qualquer aplicativo local não autenticado acesse o cliente VPN por meio de um WebSocket vinculado ao host local. A título de exemplo, é mostrado como, com um cliente VPN ativo, qualquer site poderia organizar a criação e entrega de uma captura de tela gerando o evento screen_capture.
O problema não foi classificado como uma vulnerabilidade, pois o WebSocket foi usado apenas em compilações de teste interno e o uso deste canal de comunicação foi planejado apenas no futuro para organizar a interação com o plugin do navegador.
Finalmente se você estiver interessado em saber mais sobre isso Sobre o relatório divulgado pela Mozilla, você pode consultar o detalhes no link a seguir.
A auditoria não importa. Eles têm apenas 400 servidores, isso é ridículo, não importa o quanto de auditoria você passe se você tiver apenas 400 servidores, comparados aos 3000-6000 que as VPNs têm como Deus pretendia, bom isso. Mozilla vpn é um kakarruta com os dias contados.
Sempre em primeiro lugar nos países de primeiro mundo.
@ 400 espartanos:
A Mozilla não possui servidores VPN próprios implantados, eles fazem uso da rede Mullvad (é como se alugassem os servidores de outro provedor). A auditoria importa!