Ilang araw na ang nakakalipas Nagpakawala si Mozilla ang paglalathala ng anunsyo ng ang pagkumpleto ng independiyenteng pag-audit ginawa sa client software na ginagamit upang kumonekta sa serbisyong VPN ng Mozilla.
Sinuri ng audit ang isang hiwalay na aplikasyon ng client na nakasulat sa Qt library at naihatid para sa Linux, macOS, Windows, Android, at iOS. Gumagana ang Mozilla VPN sa higit sa 400 mga server mula sa provider ng Sweden VPN na Mullvad sa higit sa 30 mga bansa. Ang koneksyon sa serbisyo ng VPN ay ginawa gamit ang WireGuard protocol.
Ang pag-audit ay isinagawa ng Cure53, na sa isang pagkakataon ay na-audit ang mga proyekto ng NTPsec, SecureDrop, Cryptocat, F-Droid, at Dovecot. Ang pandinig kasangkot na pag-verify ng source code at may kasamang mga pagsubok upang makilala ang mga potensyal na kahinaan (Ang mga isyu na nauugnay sa Crypto ay hindi isinasaalang-alang.) Sa panahon ng pag-audit, 16 na mga problema sa seguridad ang nakilala, 8 sa mga ito ay uri ng rekomendasyon, 5 ang itinalaga sa mababang antas ng peligro, dalawa - medium at isa - mataas.
Ngayon, naglabas ang Mozilla ng isang independiyenteng audit sa seguridad ng kanyang Mozilla VPN, na nagbibigay ng pag-encrypt sa antas ng aparato at proteksyon ng iyong koneksyon at impormasyon kapag nasa web, mula sa Cure53, isang walang kinikilingan na kumpanya sa cybersecurity na nakabase sa Berlin na may higit sa 15 taon na pagpapatakbo. pagsubok ng software at pag-audit sa code. Regular na gumagana ang Mozilla sa mga samahang third-party upang madagdagan ang aming mga panloob na programa sa seguridad at makatulong na mapabuti ang pangkalahatang seguridad ng aming mga produkto. Sa panahon ng independiyenteng pag-audit, dalawang mga isyu ng katamtamang kalubhaan at isang mataas na kalubhaan ang natuklasan. Sinakop namin ang mga ito sa post sa blog na ito at na-publish ang ulat sa pag-audit ng seguridad.
Gayunpaman, nabanggit na isang problema lamang sa isang antas ng katamtamang kalubhaan ay inuri bilang isang kahinaan, mula pae ay ang isa lamang na mapagsamantalahan at inilalarawan ng ulat na ang isyung ito ay naglalabas ng impormasyon sa paggamit ng VPN sa code upang tukuyin ang bihag na portal sa pamamagitan ng pagpapadala ng hindi naka-encrypt na direktang mga kahilingan ng HTTP sa labas ng tunel ng VPN na inilalantad ang pangunahing IP address ng gumagamit kung ang isang magsasalakay ay maaaring makontrol ang trapiko ng transit. Gayundin, binabanggit ng ulat na ang isyu ay nalutas sa pamamagitan ng hindi pagpapagana ng Captive Portal Detection Mode sa mga setting.
Mula nang ilunsad noong nakaraang taon, ang Mozilla VPN, ang aming mabilis at madaling gamiting virtual na pribadong serbisyo sa network, ay lumawak sa pitong mga bansa, kabilang ang Austria, Belgique, Pransya, Alemanya, Italya, Espanya, at Switzerland, para sa isang kabuuang 13 mga bansa . kung saan magagamit ang Mozilla VPN. Pinalawak din namin ang aming mga handog sa serbisyo ng VPN at magagamit na ito sa mga platform ng Windows, Mac, Linux, Android at iOS. Panghuli, ang aming listahan ng mga wika na sinusuportahan namin ay patuloy na lumalaki, at hanggang ngayon, sinusuportahan namin ang 28 mga wika.
Sa kabilang banda ang pangalawang problema na natagpuan ay nasa antas ng katamtamang kalubhaan at nauugnay sa kawalan ng wastong paglilinis ng mga hindi numerong halaga sa numero ng port, na nagbibigay-daan sa iyo upang salain ang mga parameter ng pagpapatunay ng OAuth sa pamamagitan ng pagpapalit ng numero ng port sa isang string tulad ng "1234@example.com", na hahantong sa setting ng mga HTML tag upang magawa ang kahilingan sa pamamagitan ng pag-access sa domain, halimbawa halimbawa.com sa halip na 127.0.0.1.
Ang pangatlong problema, minarkahan bilang mapanganib nabanggit sa ulat, ito ay inilarawan Pinapayagan nito ang anumang hindi napatunayan na lokal na application upang ma-access ang VPN client sa pamamagitan ng isang WebSocket na nakasalalay sa localhost. Bilang isang halimbawa, ipinapakita nito kung paano, sa isang aktibong VPN client, ang anumang site ay maaaring ayusin ang paggawa at paghahatid ng isang screenshot sa pamamagitan ng pagtaas ng kaganapan sa screen_capture.
Ang isyu ay hindi naiuri bilang isang kahinaan dahil ang WebSocket ay ginamit lamang sa panloob na mga build ng pagsubok at ang paggamit ng channel ng komunikasyon na ito ay pinlano lamang sa hinaharap upang ayusin ang pakikipag-ugnay sa browser plugin.
Sa wakas kung interesado kang malaman ang tungkol dito Tungkol sa ulat na inilabas ng Mozilla, maaari kang kumunsulta sa mga detalye sa sumusunod na link.
Hindi mahalaga ang pag-audit. Mayroon lamang silang 400 mga server, katawa-tawa, gaano man karami ang iyong pinagdadaanan kung mayroon ka lamang 400 mga server, kumpara sa 3000-6000 na mayroon ang mga VPN na inilaan ng Diyos, mabuti iyan. Ang Mozilla vpn ay isang kakarruta na may bilang ang mga araw.
Palaging nangunguna sa mga unang bansa sa mundo.
@ 400 Spartans:
Ang Mozilla ay walang sariling mga VPN server na ipinakalat, ginagamit nila ang Mullvad network (para bang nirentahan nila ang mga server mula sa ibang provider). Mahalaga ang pag-audit!