Mozilla 發布了其 VPN 客戶端的審計結果

幾天前 Mozilla發布 公告的發布 獨立審計的完成 用於連接到 Mozilla 的 VPN 服務的客戶端軟件。

審計分析了使用 Qt 庫編寫並為 Linux、macOS、Windows、Android 和 iOS 提供的單獨客戶端應用程序。 Mozilla VPN 與來自瑞典 VPN 提供商 Mullvad 在 400 多個國家/地區的 30 多台服務器配合使用。 使用 WireGuard 協議建立與 ​​VPN 服務的連接。

審計由 Cure53 執行，它曾經審計過 NTPsec、SecureDrop、Cryptocat、F-Droid 和 Dovecot 項目。 聽覺的 涉及源代碼驗證並包含測試以識別潛在漏洞 （未考慮與加密相關的問題。） 在審計過程中，發現了 16 個安全問題，其中 8 個為推薦類型，5 個為低危險級別，兩個 - 中，一個 - 高。

今天，Mozilla 發布了對其 Mozilla VPN 的獨立安全審計，該 VPN 提供設備級加密和保護您在網絡上的連接和信息，來自 Cure53，一家位於柏林的公正網絡安全公司，運營超過 15 年。 軟件測試和代碼審計。 Mozilla 會定期與第三方組織合作，以補充我們的內部安全計劃並幫助提高我們產品的整體安全性。 在獨立審計期間，發現了兩個中等嚴重性和一個高嚴重性問題。 我們在這篇博文中介紹了它們並發布了安全審計報告。

然而，有人提到 只是一個中等嚴重程度的問題 被歸類為漏洞，因為e 是唯一可利用的 並且該報告描述了這個問題是通過在 VPN 隧道外發送未加密的直接 HTTP 請求，如果攻擊者可以控制傳輸流量，暴露用戶的主要 IP 地址，從而在定義強制門戶的代碼中洩露 VPN 使用信息。 此外，該報告提到通過在設置中禁用強制門戶檢測模式來解決該問題。

自去年推出以來，我們快速且易於使用的虛擬專用網絡服務 Mozilla VPN 已擴展到 13 個國家/地區，包括奧地利、比利時、法國、德國、意大利、西班牙和瑞士，共計 28 個國家/地區. Mozilla VPN 可用的地方。 我們還擴展了我們的 VPN 服務產品，現在可以在 Windows、Mac、Linux、Android 和 iOS 平台上使用。 最後，我們支持的語言列表不斷增加，迄今為止，我們支持 XNUMX 種語言。

另一方面 發現的第二個問題是中等嚴重性級別 並且與端口號中的非數字值沒有適當清理有關，其中 允許過濾 OAuth 身份驗證參數 通過將端口號替換為類似“1234@example.com”的字符串，這將導致設置 HTML 標籤以通過訪問域來發出請求，例如 example.com 而不是 127.0.0.1。

第三個問題，標記為危險 報告中提到，它描述了 這允許任何未經身份驗證的本地應用程序通過綁定到本地主機的 WebSocket 訪問 VPN 客戶端。 例如，它展示了使用活動的 VPN 客戶端時，任何站點如何通過生成 screen_capture 事件來組織屏幕截圖的創建和交付。

該問題未被歸類為漏洞，因為 WebSocket 僅用於內部測試版本，並且僅計劃在未來使用此通信通道來組織與瀏覽器插件的交互。

終於 如果您有興趣了解更多信息 關於 Mozilla 發布的報告，可以參考 以下鏈接中提供了詳細信息。