In die Librem One-diens, gemik op gebruik op 'n slimfoon , direk daarna opgeduik het met sekuriteit wat die projek in diskrediet bring, wat voorgehou word as 'n veilige privaatheidsplatform. Die kwesbaarheid is in die Librem Chat-diens gevind en het dit moontlik gemaak om die klets as enige gebruiker in te voer, sonder om die verifikasieparameters te ken.
In die gebruikte backend-kode is magtiging via LDAP (matrix-appservice-ldap3) vir die Matrix-netwerk toegelaat , wat blyk te wees oorgedra na die kode van die Librem One-werkdiens. In plaas van die reël "result, _ = yield self._ldap_simple_bind", is "result = yield self._ldap_simple_bind" gespesifiseer, wat enige gebruiker sonder magtiging toegelaat het om die klets onder enige identifiseerder in te voer. Die ontwikkelaars van die Matrix-projek het 'n fout gemaak dat die probleem slegs in die hooftak "matrix-appservice-ldap3" verskyn het, en nie in vrystellings nie, maar daar was 'n problematiese reël in die repository sedert 2016 (miskien het die voorwaardes vir die werking van die probleem eers ontstaan na 'n paar ander onlangse veranderinge).
Die nuut-bekendgestelde Librem One stel dienste impliseer 'n betaalde intekening ($7.99 per maand of $71.91 per jaar), maar die mobiele kliënte en bedienerverwerkers is gebaseer op bestaande oop projekte wat was vir verspreiding onder die Librem-handelsmerk. Byvoorbeeld, Librem Chat is 'n hernoemde Matrix-kliënt Librem Social is gebaseer op , Librem Mail hernoem van , Librem Tonnel is geleen van . Bedienerkomponente is gebaseer op
Postfix en Dovecot vir Librem Mail, vir Librem Chat en vir Librem Social. Die rede vir die lewering van toepassings onder ander name is die begeerte om verskeie gedesentraliseerde dienste te versamel gebaseer op oop standaarde (Matrix, ActivityPub, IMAP) onder een herkenbare handelsmerk.
Bron: opennet.ru