Mozilla 发布了其 VPN 客户端的审计结果

几天前 Mozilla发布 公告的发布 独立审计的完成 用于连接到 Mozilla 的 VPN 服务的客户端软件。

审计分析了使用 Qt 库编写并为 Linux、macOS、Windows、Android 和 iOS 提供的单独客户端应用程序。 Mozilla VPN 与来自瑞典 VPN 提供商 Mullvad 在 400 多个国家/地区的 30 多台服务器配合使用。 使用 WireGuard 协议建立与 VPN 服务的连接。

审计由 Cure53 执行，它曾经审计过 NTPsec、SecureDrop、Cryptocat、F-Droid 和 Dovecot 项目。 听觉的 涉及源代码验证，并包括用于识别潜在漏洞的测试 （未考虑与加密相关的问题。） 在审计过程中，发现了16个安全问题，其中8个为推荐类型，5个为低危险级别，XNUMX个中，XNUMX个高。

今天，Mozilla 发布了其 Mozilla VPN 的独立安全审计，该 VPN 提供设备级加密和保护您在网络上的连接和信息，来自 Cure53，一家位于柏林的公正网络安全公司，拥有超过 15 年的运营经验。 软件测试和代码审计。 Mozilla 会定期与第三方组织合作，以补充我们的内部安全计划并帮助提高我们产品的整体安全性。 在独立审计期间，发现了两个中等严重性和一个高严重性问题。 我们在这篇博文中介绍了它们并发布了安全审计报告。

然而，有人提到 只是一个中等严重程度的问题 被归类为漏洞，因为e 是唯一可利用的 并且该报告描述了这个问题是通过在 VPN 隧道外发送未加密的直接 HTTP 请求，如果攻击者可以控制传输流量，暴露用户的主要 IP 地址，从而在定义强制门户的代码中泄露 VPN 使用信息。 此外，该报告提到通过在设置中禁用强制门户检测模式来解决该问题。

自去年推出以来，我们快速且易于使用的虚拟专用网络服务 Mozilla VPN 已扩展到 13 个国家/地区，包括奥地利、比利时、法国、德国、意大利、西班牙和瑞士，共计 28 个国家/地区. Mozilla VPN 可用的地方。 我们还扩展了我们的 VPN 服务产品，现在可以在 Windows、Mac、Linux、Android 和 iOS 平台上使用。 最后，我们支持的语言列表不断增加，迄今为止，我们支持 XNUMX 种语言。

而且 发现的第二个问题是中等严重性级别 并且与端口号中的非数字值没有适当清理有关，其中 允许过滤 OAuth 身份验证参数 通过将端口号替换为类似“1234@example.com”的字符串，这将导致设置 HTML 标签以通过访问域来发出请求，例如 example.com 而不是 127.0.0.1。

第三个问题，标记为危险 报告中提到，它描述了 这允许任何未经身份验证的本地应用程序通过绑定到本地主机的 WebSocket 访问 VPN 客户端。 作为一个例子，它展示了如何使用活动的 VPN 客户端，任何站点都可以通过生成 screen_capture 事件来组织屏幕截图的创建和交付。

该问题未被归类为漏洞，因为 WebSocket 仅用于内部测试版本，并且仅计划在未来使用此通信通道来组织与浏览器插件的交互。

最后 如果您有兴趣了解更多有关它的信息 关于 Mozilla 发布的报告，可以参考 以下链接中提供了详细信息。