Mozilla đã công bố kết quả kiểm tra ứng dụng khách VPN của mình

Vài ngày trước Mozilla đã phát hành việc xuất bản thông báo của hoàn thành kiểm toán độc lập được tạo cho phần mềm máy khách được sử dụng để kết nối với dịch vụ VPN của Mozilla.

Cuộc kiểm tra đã phân tích một ứng dụng khách riêng biệt được viết bằng thư viện Qt và được phân phối cho Linux, macOS, Windows, Android và iOS. Mozilla VPN hoạt động với hơn 400 máy chủ từ nhà cung cấp VPN Thụy Điển Mullvad tại hơn 30 quốc gia. Kết nối với dịch vụ VPN được thực hiện bằng giao thức WireGuard.

Cuộc kiểm toán được thực hiện bởi Cure53, tại một thời điểm, đã kiểm tra các dự án NTPsec, SecureDrop, Cryptocat, F-Droid và Dovecot. Thính giác liên quan đến xác minh mã nguồn và các thử nghiệm bao gồm để xác định các lỗ hổng tiềm ẩn (Các vấn đề liên quan đến tiền điện tử không được xem xét.) Trong quá trình đánh giá, 16 vấn đề bảo mật đã được xác định, 8 trong số đó thuộc loại khuyến nghị, 5 vấn đề được chỉ định mức độ nguy hiểm thấp, hai - trung bình và một - cao.

Hôm nay, Mozilla đã phát hành một cuộc kiểm tra bảo mật độc lập đối với Mozilla VPN của mình, cung cấp mã hóa cấp thiết bị và bảo vệ kết nối cũng như thông tin của bạn khi truy cập web, từ Cure53, một công ty an ninh mạng công bằng có trụ sở tại Berlin với hơn 15 năm hoạt động. kiểm thử phần mềm và kiểm tra mã. Mozilla định kỳ làm việc với các tổ chức bên thứ ba để bổ sung các chương trình bảo mật nội bộ của chúng tôi và giúp cải thiện tính bảo mật tổng thể của các sản phẩm của chúng tôi. Trong quá trình đánh giá độc lập, hai vấn đề có mức độ nghiêm trọng trung bình và một vấn đề nghiêm trọng cao đã được phát hiện. Chúng tôi đã đề cập đến chúng trong bài đăng trên blog này và xuất bản báo cáo kiểm toán bảo mật.

Tuy nhiên, nó được đề cập rằng chỉ là một vấn đề với mức độ nghiêm trọng trung bình được phân loại là một lỗ hổng bảo mật, vìe là người duy nhất có thể khai thác và báo cáo mô tả rằng sự cố này đã làm rò rỉ thông tin sử dụng VPN trong mã để xác định cổng bị khóa bằng cách gửi các yêu cầu HTTP trực tiếp không được mã hóa bên ngoài đường hầm VPN làm lộ địa chỉ IP chính của người dùng nếu kẻ tấn công có thể kiểm soát lưu lượng chuyển tuyến. Ngoài ra, báo cáo đề cập rằng sự cố được giải quyết bằng cách tắt Chế độ phát hiện cổng cố định trong cài đặt.

Kể từ khi chúng tôi ra mắt vào năm ngoái, Mozilla VPN, dịch vụ mạng riêng ảo nhanh chóng và dễ sử dụng của chúng tôi, đã mở rộng ra bảy quốc gia, bao gồm Áo, Bỉ, Pháp, Đức, Ý, Tây Ban Nha và Thụy Sĩ, với tổng số 13 quốc gia . nơi có sẵn Mozilla VPN. Chúng tôi cũng đã mở rộng cung cấp dịch vụ VPN và hiện đã có trên các nền tảng Windows, Mac, Linux, Android và iOS. Cuối cùng, danh sách các ngôn ngữ mà chúng tôi hỗ trợ tiếp tục phát triển và cho đến nay, chúng tôi hỗ trợ 28 ngôn ngữ.

Mặt khác vấn đề thứ hai được tìm thấy là ở mức độ nghiêm trọng trung bình và có liên quan đến việc thiếu làm sạch thích hợp các giá trị không phải số trong số cổng, cho phép lọc các tham số xác thực OAuth bằng cách thay thế số cổng bằng một chuỗi như "1234@example.com", điều này sẽ dẫn đến việc thiết lập các thẻ HTML để thực hiện yêu cầu bằng cách truy cập miền, ví dụ: example.com thay vì 127.0.0.1.

Vấn đề thứ ba, được đánh dấu là nguy hiểm được đề cập trong báo cáo, nó được mô tả rằng Điều này cho phép mọi ứng dụng cục bộ chưa được xác thực có thể truy cập vào máy khách VPN thông qua WebSocket được liên kết với localhost. Ví dụ: nó cho thấy cách, với một ứng dụng khách VPN đang hoạt động, bất kỳ trang web nào cũng có thể tổ chức việc tạo và gửi ảnh chụp màn hình bằng cách tạo sự kiện screen_capture.

Vấn đề không được phân loại là một lỗ hổng vì WebSocket chỉ được sử dụng trong các bản dựng thử nghiệm nội bộ và việc sử dụng kênh giao tiếp này chỉ được lên kế hoạch trong tương lai để tổ chức tương tác với plugin trình duyệt.

Cuối cùng nếu bạn muốn biết thêm về nó Về báo cáo do Mozilla phát hành, bạn có thể tham khảo chi tiết trong liên kết sau.