Mozilla je objavila rezultate revizije odjemalca VPN

Pred nekaj dnevi Mozilla izpuščena objavo objave zaključek neodvisne revizije narejen za odjemalčevo programsko opremo, ki se uporablja za povezavo z Mozillino storitvijo VPN.

Revizija je analizirala ločeno odjemalsko aplikacijo, napisano s knjižnico Qt in dostavljeno za Linux, macOS, Windows, Android in iOS. Mozilla VPN deluje z več kot 400 strežniki švedskega ponudnika VPN Mullvad v več kot 30 državah. Povezava s storitvijo VPN je vzpostavljena s protokolom WireGuard.

Revizijo je opravil Cure53, ki je na neki točki revidirala projekte NTPsec, SecureDrop, Cryptocat, F-Droid in Dovecot. Slušni vključeval preverjanje izvorne kode in vključeval testiranje za ugotavljanje možnih ranljivosti (Vprašanja, povezana s kripto, niso bila obravnavana). Med revizijo je bilo ugotovljenih 16 varnostnih težav, od katerih je bilo 8 priporočilnih vrst, 5 je dobilo nizko stopnjo nevarnosti, dve - srednji in eno - visoko.

Danes je Mozilla objavila neodvisno varnostno revizijo svojega Mozilla VPN, ki zagotavlja šifriranje na ravni naprave in zaščito vaše povezave in podatkov v spletu, od podjetja Cure53, nepristranskega podjetja za kibernetsko varnost, ki deluje več kot 15 let. testiranje programske opreme in revizija kode. Mozilla redno sodeluje s tretjimi organizacijami, da dopolni naše programe notranje varnosti in pomaga izboljšati splošno varnost naših izdelkov. Med neodvisno revizijo so odkrili dve vprašanji srednje resnosti in eno visoko resnost. Na to temo smo se obrnili in objavili poročilo o varnostni reviziji.

Vendar je omenjeno, da samo problem s srednjo stopnjo resnosti je bila razvrščena kot ranljivost, saje je bil edini, ki ga je bilo mogoče izkoristiti poročilo pa opisuje, da je ta težava puščala podatke o uporabi VPN -ja v kodi za opredelitev zaprtega portala s pošiljanjem nešifriranih neposrednih zahtev HTTP zunaj tunela VPN, ki razkrivajo uporabnikov primarni naslov IP, če lahko napadalec nadzoruje tranzitni promet. Poročilo prav tako omenja, da je težava odpravljena tako, da v nastavitvah onemogočite način odkrivanja zaprtega portala.

Od lanskega uvedbe se je Mozilla VPN, naša hitra in enostavna za uporabo storitev navideznega zasebnega omrežja, razširila na sedem držav, vključno z Avstrijo, Belgijo, Francijo, Nemčijo, Italijo, Španijo in Švico, za skupaj 13 držav. kjer je na voljo Mozilla VPN. Razširili smo tudi ponudbo storitev VPN in je zdaj na voljo na platformah Windows, Mac, Linux, Android in iOS. Nazadnje se naš seznam jezikov, ki jih podpiramo, še naprej povečuje in do danes podpiramo 28 jezikov.

Poleg tega druga težava, ki je bila ugotovljena, je na stopnji srednje resnosti in je povezana s pomanjkanjem ustreznega čiščenja neštevilskih vrednosti v številki vrat, ki omogoča filtriranje parametrov overjanja OAuth z zamenjavo številke vrat z nizom, kot je "1234@example.com", kar bo privedlo do nastavitve oznak HTML za zahtevo z dostopom do domene, na primer example.com namesto 127.0.0.1.

Tretja težava, označena kot nevarna omenjeno v poročilu, je opisano, da To omogoča kateri koli nepooblaščeni lokalni aplikaciji dostop do odjemalca VPN prek WebSocket, vezanega na localhost. Kot primer je prikazano, kako bi lahko z aktivnim odjemalcem VPN katero koli spletno mesto organiziralo ustvarjanje in dostavo posnetka zaslona z ustvarjanjem dogodka screen_capture.

Vprašanje ni bilo razvrščeno kot ranljivost, saj je bil WebSocket uporabljen le v internih preizkusih, uporaba tega komunikacijskega kanala pa je bila v prihodnosti načrtovana le za organizacijo interakcije z vtičnikom brskalnika.

Končno če vas zanima več o tem O poročilu, ki ga je objavila Mozilla, se lahko obrnete na podrobnosti na naslednji povezavi.