Mozilla zverejnila výsledky auditu svojho klienta VPN

Pred pár dňami Mozilla vydaná uverejnenie oznámenia o dokončenie nezávislého auditu vytvorený pre klientsky softvér, ktorý sa používa na pripojenie k službe VPN spoločnosti Mozilla.

Audit analyzoval samostatnú klientsku aplikáciu napísanú s knižnicou Qt a dodanú pre Linux, macOS, Windows, Android a iOS. Mozilla VPN funguje s viac ako 400 servermi od švédskeho poskytovateľa VPN Mullvad vo viac ako 30 krajinách. Pripojenie k službe VPN sa uskutočňuje pomocou protokolu WireGuard.

Audit vykonala spoločnosť Cure53, ktorá v jednom momente kontrolovala projekty NTPsec, SecureDrop, Cryptocat, F-Droid a Dovecot. Sluchové zahrnuté overenie zdrojového kódu a zahrnuté testy na identifikáciu potenciálnych zraniteľností (Problémy súvisiace s kryptomenami sa neberú do úvahy.) Počas auditu bolo identifikovaných 16 bezpečnostných problémov, z ktorých 8 bolo typu odporúčania, 5 bolo priradených nízkych, dvoch - stredných a jedného - vysokého stupňa nebezpečenstva.

Spoločnosť Mozilla dnes spustila nezávislý bezpečnostný audit svojej siete Mozilla VPN, ktorá poskytuje šifrovanie na úrovni zariadenia a ochranu vášho pripojenia a informácií na internete od spoločnosti Cure53, nestrannej kybernetickej spoločnosti so sídlom v Berlíne, ktorá má viac ako 15 rokov prevádzky. testovanie softvéru a audit kódu. Mozilla pravidelne spolupracuje s organizáciami tretích strán na doplnení našich interných programov zabezpečenia a pomáha zlepšovať celkové zabezpečenie našich produktov. Počas nezávislého auditu boli zistené dve otázky strednej závažnosti a jedna vysoká závažnosť. Pokryli sme ich v tomto blogovom príspevku a zverejnili sme správu o bezpečnostnom audite.

Spomína sa však, že len problém so strednou úrovňou závažnosti bol klasifikovaný ako zraniteľnosť, pretožee bol jediný, ktorý sa dal zneužiť a správa popisuje, že týmto problémom boli úniky informácií o použití VPN v kóde na definovanie portálu na prihlásenie do siete odoslaním nešifrovaných priamych požiadaviek HTTP mimo tunel VPN, ktoré odhalili primárnu adresu IP používateľa, ak môže útočník ovládať prenos. V správe sa tiež uvádza, že problém je vyriešený vypnutím režimu zisťovania portálu v zajatí v nastaveniach.

Od nášho uvedenia na trh v minulom roku sa Mozilla VPN, naša rýchla a ľahko použiteľná služba virtuálnej súkromnej siete, rozšírila do siedmich krajín vrátane Rakúska, Belgicka, Francúzska, Nemecka, Talianska, Španielska a Švajčiarska, celkovo do 13 krajín. . kde je dostupná Mozilla VPN. Tiež sme rozšírili naše ponuky služieb VPN a teraz sú k dispozícii pre platformy Windows, Mac, Linux, Android a iOS. Nakoniec, náš zoznam jazykov, ktoré podporujeme, sa stále rozrastá a doteraz podporujeme 28 jazykov.

Na druhú stranu druhý problém, ktorý sa zistil, je v strednej závažnosti a súvisí s nedostatkom riadneho čistenia nečíselných hodnôt v čísle portu, ktoré umožňuje filtrovať parametre autentifikácie OAuth nahradením čísla portu reťazcom ako „1234@example.com“, čo povedie k nastaveniu značiek HTML na odoslanie požiadavky prístupom k doméne, napríklad example.com namiesto 127.0.0.1.

Tretí problém, označený ako nebezpečný uvedené v správe, je popísané, že To umožňuje akejkoľvek neoverenej lokálnej aplikácii prístup k klientovi VPN prostredníctvom servera WebSocket viazaného na localhost. Ako príklad ukazuje, ako by pri aktívnom klientovi VPN mohla ľubovoľná stránka zorganizovať vytvorenie a doručenie snímky obrazovky vyvolaním udalosti screen_capture.

Tento problém nebol klasifikovaný ako zraniteľnosť, pretože WebSocket sa používal iba pri interných testovacích zostavách a použitie tohto komunikačného kanála bolo v budúcnosti plánované iba na organizáciu interakcie s doplnkom prehliadača.

Konečne ak máte záujem dozvedieť sa o tom viac O správe vydanej spoločnosťou Mozilla si môžete prečítať podrobnosti v nasledujúcom odkaze.