Mozilla publicerade granskningsresultaten för sin VPN -klient

Några dagar sen Mozilla släpptes publiceringen av tillkännagivandet av slutförandet av den oberoende revisionen gjord till klientprogramvara som används för att ansluta till Mozillas VPN -tjänst.

Granskningen analyserade en separat klientapplikation skriven med Qt -biblioteket och levererad för Linux, macOS, Windows, Android och iOS. Mozilla VPN fungerar med mer än 400 servrar från den svenska VPN -leverantören Mullvad i mer än 30 länder. Anslutningen till VPN -tjänsten görs med WireGuard -protokollet.

Granskningen utfördes av Cure53, som vid ett tillfälle granskade projekten NTPsec, SecureDrop, Cryptocat, F-Droid och Dovecot. Det hörande involverade verifiering av källkod och inkluderade tester för att identifiera potentiella sårbarheter (Krypterelaterade frågor beaktades inte.) Under granskningen identifierades 16 säkerhetsproblem, varav 8 var rekommendationstyp, 5 tilldelades en låg risknivå, två - medium och en - hög.

Idag släppte Mozilla en oberoende säkerhetsrevision av sitt Mozilla VPN, som ger kryptering på enhetens nivå och skyddar din anslutning och information när du är på webben, från Cure53, ett Berlin-baserat opartiskt cybersäkerhetsföretag med över 15 års verksamhet. mjukvarutestning och kodrevision. Mozilla arbetar regelbundet med tredjepartsorganisationer för att komplettera våra interna säkerhetsprogram och hjälpa till att förbättra den övergripande säkerheten för våra produkter. Under den oberoende granskningen upptäcktes två frågor av medellång svårighetsgrad och en hög svårighetsgrad. Vi har täckt dem i detta blogginlägg och publicerat säkerhetsrevisionsrapporten.

Det nämns dock att bara ett problem med en medelhög svårighetsgrad klassificerades som en sårbarhet, sedane var den enda som var exploaterbar och rapporten beskriver att det här problemet läckte information om VPN -användning i kod för att definiera den fångna portalen genom att skicka okrypterade direkta HTTP -begäranden utanför VPN -tunneln och avslöja användarens primära IP -adress om en angripare kan styra transittrafik. Rapporten nämner också att problemet är löst genom att inaktivera Captive Portal Detection Mode i inställningarna.

Sedan vår lansering förra året har Mozilla VPN, vår snabba och lättanvända virtuella privata nätverkstjänst, expanderat till sju länder, inklusive Österrike, Belgien, Frankrike, Tyskland, Italien, Spanien och Schweiz, för totalt 13 länder . där Mozilla VPN är tillgängligt. Vi utökade också våra VPN -tjänster och det är nu tillgängligt på Windows, Mac, Linux, Android och iOS -plattformar. Slutligen fortsätter vår lista över språk som vi stöder att växa, och hittills stöder vi 28 språk.

Å andra sidan det andra problemet som hittades är i medelsvårhetsnivån och är relaterat till bristen på korrekt rengöring av icke-numeriska värden i portnumret, vilket tillåter filtrering av OAuth -autentiseringsparametrar genom att ersätta portnumret med en sträng som "1234@example.com", vilket leder till att HTML -taggar ställs in för att göra begäran genom att komma åt domänen, till exempel example.com istället för 127.0.0.1.

Det tredje problemet, märkt som farligt som nämns i rapporten beskrivs det Detta tillåter alla oautentiserade lokala applikationer att komma åt VPN -klienten via en WebSocket bunden till localhost. Som ett exempel visar det hur en webbplats med en aktiv VPN -klient kan organisera skapandet och leveransen av en skärmdump genom att generera screen_capture -händelsen.

Frågan klassificerades inte som en sårbarhet eftersom WebSocket endast användes i interna testbyggnader och användningen av denna kommunikationskanal endast planerades i framtiden för att organisera interaktion med webbläsarpluggen.

Slutligen om du är intresserad av att veta mer om det Om rapporten som Mozilla släppt kan du konsultera detaljer i följande länk.