Mozilla lëshoi ​​rezultatet e auditimit të klientit të saj VPN

Pak ditë më parë Mozilla lëshuar publikimin e njoftimit të përfundimi i auditimit të pavarur bërë për softuerin e klientit që përdoret për t'u lidhur me shërbimin VPN të Mozilla.

Auditimi analizoi një aplikacion të veçantë të klientit të shkruar me bibliotekën Qt dhe të dorëzuar për Linux, macOS, Windows, Android dhe iOS. Mozilla VPN punon me më shumë se 400 serverë nga ofruesi suedez i VPN Mullvad në më shumë se 30 vende. Lidhja me shërbimin VPN bëhet duke përdorur protokollin WireGuard.

Auditimi u krye nga Cure53, e cila në një moment auditoi projektet NTPsec, SecureDrop, Cryptocat, F-Droid dhe Dovecot. Të dëgjuarit përfshiu verifikimin e kodit burimor dhe përfshiu testimin për të identifikuar dobësitë e mundshme (Çështjet e lidhura me kripton nuk u morën parasysh). Gjatë auditimit, u identifikuan 16 probleme sigurie, 8 prej të cilave ishin tip rekomandimi, 5 u caktuan një nivel të ulët rreziku, dy - të mesëm dhe një të lartë.

Sot, Mozilla lëshoi ​​një kontroll të pavarur sigurie të Mozilla VPN-së së tij, i cili siguron kriptim në nivel të pajisjes dhe mbrojtje të lidhjes dhe informacionit tuaj kur jeni në internet, nga Cure53, një kompani e paanshme kibernetike me bazë në Berlin me mbi 15 vjet funksionim. testimi i softverit dhe auditimi i kodit. Mozilla punon rregullisht me organizatat e palëve të treta për të plotësuar programet tona të sigurisë së brendshme dhe për të ndihmuar në përmirësimin e sigurisë së përgjithshme të produkteve tona. Gjatë auditimit të pavarur, u zbuluan dy çështje me ashpërsi të mesme dhe një ashpërsi të lartë. Ne u jemi drejtuar atyre në këtë postim në blog dhe kemi publikuar raportin e auditimit të sigurisë.

Megjithatë, përmendet se vetëm një problem me një nivel mesatar të ashpërsisë u klasifikua si një dobësi, pasie ishte i vetmi që ishte i shfrytëzueshëm dhe raporti përshkruan se kjo çështje po rrjedh informacionin e përdorimit të VPN në kod për të përcaktuar portalin e kapur duke dërguar kërkesa të pakriptuara direkte HTTP jashtë tunelit VPN duke ekspozuar adresën IP kryesore të përdoruesit nëse një sulmues mund të kontrollojë trafikun tranzit. Gjithashtu, raporti përmend se çështja zgjidhet duke çaktivizuar Modalitetin e Zbulimit të Portalit të Kapur në cilësimet.

Që nga nisja jonë vitin e kaluar, Mozilla VPN, shërbimi ynë i shpejtë dhe i lehtë për t’u përdorur, rrjeti privat privat, është zgjeruar në shtatë vende, përfshirë Austrinë, Belgjikën, Francën, Gjermaninë, Italinë, Spanjën dhe Zvicrën, për gjithsej 13 vende ku Mozilla VPN është në dispozicion. Ne gjithashtu zgjeruam ofertat tona të shërbimit VPN dhe tani është në dispozicion në platformat Windows, Mac, Linux, Android dhe iOS. Së fundmi, lista jonë e gjuhëve që ne mbështesim vazhdon të rritet dhe deri më sot, ne mbështesim 28 gjuhë.

Nga ana tjetër problemi i dytë që u gjet është në nivelin e ashpërsisë mesatare dhe lidhet me mungesën e pastrimit të duhur të vlerave jo-numerike në numrin e portit, i cili lejon filtrimin e parametrave të vërtetimit të OAuth duke zëvendësuar numrin e portit me një varg si "1234@example.com", i cili do të çojë në vendosjen e etiketave HTML për të bërë kërkesën duke hyrë në domen, për shembull example.com në vend të 127.0.0.1.

Problemi i tretë, i shënuar si i rrezikshëm e përmendur në raport, përshkruhet se Kjo lejon që çdo aplikacion lokal i paautorizuar të hyjë në klientin VPN përmes një WebSocket të lidhur me localhost. Si shembull, tregohet se si, me një klient aktiv VPN, çdo sit mund të organizojë krijimin dhe shpërndarjen e një pamjeje të ekranit duke gjeneruar ngjarjen screen_capture.

Çështja nuk u klasifikua si një dobësi pasi WebSocket u përdor vetëm në testet e brendshme të ndërtuara dhe përdorimi i këtij kanali komunikimi ishte planifikuar vetëm në të ardhmen për të organizuar ndërveprimin me shtojcën e shfletuesit.

Më në fund nëse jeni të interesuar të dini më shumë për të Për raportin e lëshuar nga Mozilla, mund të konsultoheni me detajet në lidhjen vijuese.