Mozilla a lansat rezultatele auditului clientului VPN

Acum cateva zile Mozilla a fost lansat publicarea anunțului de finalizarea auditului independent realizat software-ului client care este utilizat pentru conectarea la serviciul VPN Mozilla.

Auditul a analizat o aplicație client separată scrisă cu biblioteca Qt și livrată pentru Linux, macOS, Windows, Android și iOS. Mozilla VPN funcționează cu peste 400 de servere de la furnizorul suedez de VPN Mullvad în peste 30 de țări. Conexiunea la serviciul VPN se face utilizând protocolul WireGuard.

Auditul a fost efectuat de Cure53, care la un moment dat a auditat proiectele NTPsec, SecureDrop, Cryptocat, F-Droid și Dovecot. Auditivul a implicat verificarea codului sursă și a inclus teste pentru identificarea potențialelor vulnerabilități (Problemele legate de cripto nu au fost luate în considerare). În timpul auditului, au fost identificate 16 probleme de securitate, dintre care 8 au fost de tip recomandare, 5 au primit un nivel scăzut de pericol, două - mediu și unul - ridicat.

Astăzi, Mozilla a lansat un audit de securitate independent al VPN-ului său Mozilla, care asigură criptarea la nivel de dispozitiv și protecția conexiunii și informațiilor dvs. pe web, de la Cure53, o companie de cibersecuritate imparțială din Berlin, cu peste 15 ani de funcționare. testare software și audit de cod. Mozilla lucrează regulat cu organizații terțe pentru a completa programele noastre de securitate internă și pentru a contribui la îmbunătățirea securității generale a produselor noastre. În timpul auditului independent, au fost descoperite două probleme de severitate medie și una de severitate ridicată. Le-am adresat în această postare de blog și am publicat raportul de audit de securitate.

Cu toate acestea, se menționează că doar o problemă cu un nivel mediu de severitate a fost clasificat ca vulnerabilitate, deoareceE a fost singurul care a fost exploatabil iar raportul descrie că această problemă scurgea informații de utilizare VPN în cod pentru a defini portalul captiv prin trimiterea de cereri HTTP directe necriptate în afara tunelului VPN expunând adresa IP primară a utilizatorului dacă un atacator poate controla traficul de tranzit. De asemenea, raportul menționează că problema este rezolvată prin dezactivarea modului de detectare a portalului captiv în setări.

De la lansarea noastră anul trecut, Mozilla VPN, serviciul nostru de rețea privată virtuală rapid și ușor de utilizat, sa extins în șapte țări, inclusiv Austria, Belgia, Franța, Germania, Italia, Spania și Elveția, pentru un total de 13 țări. unde este disponibil Mozilla VPN. De asemenea, am extins ofertele noastre de servicii VPN și este acum disponibil pe platformele Windows, Mac, Linux, Android și iOS. În cele din urmă, lista noastră de limbi pe care le sprijinim continuă să crească și, până în prezent, acceptăm 28 de limbi.

Pe de altă parte a doua problemă care a fost găsită se află la nivelul severității medii și este legat de lipsa unei curățări corespunzătoare a valorilor nenumerice din numărul portului, care permite filtrarea parametrilor de autentificare OAuth prin înlocuirea numărului de port cu un șir de tipul „1234@example.com”, care va duce la setarea etichetelor HTML pentru a face cererea accesând domeniul, de exemplu example.com în loc de 127.0.0.1.

A treia problemă, marcată ca periculoasă menționat în raport, se descrie că Acest lucru permite oricărei aplicații locale neautentificate să acceseze clientul VPN printr-un WebSocket legat de localhost. De exemplu, se arată cum, cu un client VPN activ, orice site ar putea organiza crearea și livrarea unei capturi de ecran prin generarea evenimentului screen_capture.

Problema nu a fost clasificată ca o vulnerabilitate, deoarece WebSocket a fost utilizat doar în versiunile de testare interne și utilizarea acestui canal de comunicare a fost planificată doar în viitor pentru a organiza interacțiunea cu pluginul browserului.

În cele din urmă dacă sunteți interesat să aflați mai multe despre asta Despre raportul lansat de Mozilla, puteți consulta detalii în următorul link.