Mozilla оприлюднила результати аудиту свого VPN -клієнта

Кілька днів тому Mozilla випущена публікація оголошення про завершення незалежного аудиту створено для клієнтського програмного забезпечення, яке використовується для підключення до служби VPN Mozilla.

Аудит проаналізував окрему клієнтську програму, написану з бібліотекою Qt та поставлену для Linux, macOS, Windows, Android та iOS. Mozilla VPN працює з більш ніж 400 серверами шведського провайдера VPN Mullvad у більш ніж 30 країнах. Підключення до служби VPN здійснюється за допомогою протоколу WireGuard.

Аудит проводив Cure53, яка одного разу перевірила проекти NTPsec, SecureDrop, Cryptocat, F-Droid та Dovecot. Слуховий включала перевірку вихідного коду та включала тести для виявлення потенційних уразливостей (Проблеми, пов'язані з криптографією, не розглядалися.) Під час аудиту було виявлено 16 проблем безпеки, 8 з яких були рекомендаційними, 5 отримали низький рівень небезпеки, два - середній та один - високий.

Сьогодні Mozilla випустила незалежний аудит безпеки своєї Mozilla VPN, яка забезпечує шифрування на рівні пристрою та захист вашого з'єднання та інформації в Інтернеті від Cure53, неупередженої компанії з кібербезпеки, що працює понад 15 років. тестування програмного забезпечення та аудит коду. Mozilla регулярно співпрацює з сторонніми організаціями, щоб доповнити наші програми внутрішньої безпеки та допомогти покращити загальну безпеку наших продуктів. Під час незалежного аудиту було виявлено два питання середньої та однієї високої тяжкості. Ми висвітлили їх у цій публікації в блозі та опублікували звіт про аудит безпеки.

Однак згадується, що просто проблема із середнім ступенем тяжкості був класифікований як уразливість, оскількие був єдиним, який можна було використати і у звіті описується, що ця проблема витікала інформацію про використання VPN у коді для визначення прихованого порталу, надсилаючи незашифровані прямі HTTP -запити за межами тунелю VPN, відкриваючи первинну IP -адресу користувача, якщо зловмисник може контролювати транзитний трафік. Крім того, у звіті згадується, що проблема вирішується шляхом відключення режиму виявлення невідомого порталу в налаштуваннях.

З моменту запуску минулого року Mozilla VPN, наш швидкий і простий у використанні сервіс віртуальної приватної мережі, розширився до семи країн, включаючи Австрію, Бельгію, Францію, Німеччину, Італію, Іспанію та Швейцарію, загалом до 13 країн де доступна Mozilla VPN. Ми також розширили наші пропозиції послуг VPN, і тепер вони доступні на платформах Windows, Mac, Linux, Android та iOS. Нарешті, наш список підтримуваних нами мов продовжує зростати, і на сьогоднішній день ми підтримуємо 28 мов.

З іншого боку друга проблема, яка була виявлена, - це рівень середньої тяжкості і пов'язано з відсутністю належного очищення нечислових значень у номері порту, який дозволяє фільтрувати параметри автентифікації OAuth шляхом заміни номера порту рядком типу "1234@example.com", що призведе до налаштування HTML -тегів для здійснення запиту шляхом доступу до домену, наприклад example.com замість 127.0.0.1.

Третя проблема, позначена як небезпечна згадується у звіті, описано, що Це дозволяє будь -якій неавторизованій локальній програмі отримати доступ до VPN -клієнта через WebSocket, прив'язаний до localhost. Наприклад, він показує, як із активним клієнтом VPN будь -який сайт може організувати створення та доставку знімка екрана, піднявши подію screen_capture.

Проблема не була класифікована як вразливість, оскільки WebSocket використовувався лише у внутрішніх збірках тестів, і використання цього каналу зв'язку планувалося лише в майбутньому для організації взаємодії з плагіном браузера.

В кінці кінців якщо вам цікаво дізнатись більше про це Щодо звіту, опублікованого Mozilla, ви можете ознайомитися з подробиці за наступним посиланням.