Mozilla เปิดเผยผลการตรวจสอบไคลเอนต์ VPN

ไม่กี่วันที่ผ่านมา Mozilla เปิดตัว การเผยแพร่ประกาศของ เสร็จสิ้นการตรวจสอบอิสระ ทำกับซอฟต์แวร์ไคลเอ็นต์ที่ใช้เชื่อมต่อกับบริการ VPN ของ Mozilla

การตรวจสอบวิเคราะห์แอปพลิเคชันไคลเอ็นต์แยกต่างหากที่เขียนด้วยไลบรารี Qt และจัดส่งสำหรับ Linux, macOS, Windows, Android และ iOS Mozilla VPN ทำงานร่วมกับเซิร์ฟเวอร์มากกว่า 400 แห่งจาก Mullvad ผู้ให้บริการ VPN ของสวีเดนในกว่า 30 ประเทศ การเชื่อมต่อกับบริการ VPN ทำโดยใช้โปรโตคอล WireGuard

การตรวจสอบดำเนินการโดย Cure53ซึ่ง ณ จุดหนึ่งได้ตรวจสอบโครงการ NTPsec, SecureDrop, Cryptocat, F-Droid และ Dovecot การได้ยิน เกี่ยวข้องกับการตรวจสอบซอร์สโค้ดและรวมการทดสอบเพื่อระบุช่องโหว่ที่อาจเกิดขึ้น (ปัญหาที่เกี่ยวข้องกับ Crypto ไม่ได้รับการพิจารณา) ในระหว่างการตรวจสอบ พบปัญหาด้านความปลอดภัย 16 รายการ โดย 8 รายการเป็นประเภทข้อเสนอแนะ 5 รายการได้รับระดับอันตรายต่ำ ปานกลาง XNUMX รายการ และสูง XNUMX รายการ

วันนี้ Mozilla ได้เปิดตัวการตรวจสอบความปลอดภัยอิสระของ Mozilla VPN ซึ่งให้การเข้ารหัสระดับอุปกรณ์และการป้องกันการเชื่อมต่อและข้อมูลของคุณเมื่ออยู่บนเว็บ จาก Cure53 บริษัทรักษาความปลอดภัยทางไซเบอร์ที่เป็นกลางในเบอร์ลินซึ่งดำเนินงานมามากกว่า 15 ปี การทดสอบซอฟต์แวร์และการตรวจสอบรหัส Mozilla ทำงานร่วมกับองค์กรภายนอกเป็นระยะเพื่อเสริมโปรแกรมความปลอดภัยภายในของเรา และช่วยปรับปรุงความปลอดภัยโดยรวมของผลิตภัณฑ์ของเรา ในระหว่างการตรวจสอบอิสระ พบว่ามีประเด็นความรุนแรงปานกลาง XNUMX ประเด็นและประเด็นความรุนแรงสูง XNUMX เรื่อง เราได้กล่าวถึงในบล็อกโพสต์นี้และเผยแพร่รายงานการตรวจสอบความปลอดภัย

อย่างไรก็ตาม มีการกล่าวไว้ว่า เป็นปัญหาระดับความรุนแรงปานกลาง ถูกจัดว่าเป็นช่องโหว่ตั้งแต่e เป็นคนเดียวที่ถูกเอาเปรียบ และรายงานอธิบายว่าปัญหานี้ทำให้ข้อมูลการใช้งาน VPN รั่วไหลในโค้ดเพื่อกำหนดแคปทีฟพอร์ทัลโดยส่งคำขอ HTTP โดยตรงที่ไม่ได้เข้ารหัสนอกอุโมงค์ VPN เปิดเผยที่อยู่ IP หลักของผู้ใช้หากผู้โจมตีสามารถควบคุมการรับส่งข้อมูลได้ นอกจากนี้ รายงานยังระบุด้วยว่าปัญหาได้รับการแก้ไขแล้วโดยการปิดใช้งานโหมดการตรวจจับพอร์ทัลแบบ Captive ในการตั้งค่า

นับตั้งแต่เปิดตัวเมื่อปีที่แล้ว Mozilla VPN บริการเครือข่ายส่วนตัวเสมือนที่รวดเร็วและใช้งานง่าย ได้ขยายไปยัง 13 ประเทศ ได้แก่ ออสเตรีย เบลเยียม ฝรั่งเศส เยอรมนี อิตาลี สเปน และสวิตเซอร์แลนด์ รวมเป็น 28 ประเทศ . ที่ Mozilla VPN ให้บริการ เรายังได้ขยายข้อเสนอบริการ VPN ของเรา และขณะนี้มีให้บริการบนแพลตฟอร์ม Windows, Mac, Linux, Android และ iOS สุดท้ายนี้ รายการภาษาที่เราสนับสนุนยังคงเติบโต และจนถึงปัจจุบัน เรารองรับ XNUMX ภาษา

ในทางกลับกัน ปัญหาที่ XNUMX ที่พบคือระดับความรุนแรงปานกลาง และเกี่ยวข้องกับการขาดการทำความสะอาดค่าที่ไม่ใช่ตัวเลขอย่างเหมาะสมในหมายเลขพอร์ตซึ่ง อนุญาตให้กรองพารามิเตอร์การตรวจสอบสิทธิ์ OAuth โดยแทนที่หมายเลขพอร์ตด้วยสตริง เช่น "1234@example.com" ซึ่งจะนำไปสู่การตั้งค่าแท็ก HTML เพื่อส่งคำขอโดยเข้าถึงโดเมน เช่น example.com แทนที่จะเป็น 127.0.0.1

ปัญหาที่สาม ทำเครื่องหมายว่าอันตราย ระบุไว้ในรายงานระบุว่า ซึ่งช่วยให้แอปพลิเคชันในเครื่องที่ไม่ผ่านการตรวจสอบสิทธิ์เข้าถึงไคลเอ็นต์ VPN ผ่าน WebSocket ที่ผูกกับ localhost ตัวอย่างเช่น มันแสดงให้เห็นว่าด้วยไคลเอนต์ VPN ที่ใช้งานอยู่ ไซต์ใดๆ สามารถจัดระเบียบการสร้างและการส่งมอบภาพหน้าจอโดยการสร้างเหตุการณ์ screen_capture

ปัญหานี้ไม่ได้จัดประเภทเป็นช่องโหว่ เนื่องจาก WebSocket ถูกใช้ในการสร้างการทดสอบภายในเท่านั้น และการใช้ช่องทางการสื่อสารนี้ได้รับการวางแผนในอนาคตเพื่อจัดระเบียบการโต้ตอบกับปลั๊กอินของเบราว์เซอร์เท่านั้น

ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม เกี่ยวกับรายงานที่เผยแพร่โดย Mozilla คุณสามารถปรึกษา รายละเอียดตามลิงค์ต่อไปนี้