Mozilla het die voltooiing van 'n onafhanklike oudit van kliëntsagteware aangekondig om aan die Mozilla VPN-diens te koppel. Die oudit het 'n ontleding van 'n selfstandige kliënttoepassing ingesluit wat met die Qt-biblioteek geskryf is en beskikbaar is vir Linux, macOS, Windows, Android en iOS. Mozilla VPN word aangedryf deur meer as 400 bedieners van die Sweedse VPN-verskaffer Mullvad, geleë in meer as 30 lande. Verbinding met die VPN-diens word gemaak met behulp van die WireGuard-protokol.
Die oudit is uitgevoer deur Cure53, wat op 'n tyd die NTPsec-, SecureDrop-, Cryptocat-, F-Droid- en Dovecot-projekte geoudit het. Die oudit het die verifikasie van bronkodes gedek en toetse ingesluit om moontlike kwesbaarhede te identifiseer (kwessies wat met kriptografie verband hou, is nie oorweeg nie). Tydens die oudit is 16 veiligheidskwessies geïdentifiseer, waarvan 8 aanbevelings was, 5 is 'n lae vlak van gevaar toegeken, twee is 'n medium vlak toegeken, en een is 'n hoë vlak van gevaar toegeken.
Slegs een probleem met 'n medium ernsvlak is egter as 'n kwesbaarheid geklassifiseer, aangesien dit die enigste een was wat ontginbaar was. Hierdie probleem het gelei tot die lekkasie van VPN-gebruikinligting in die gevangeportaalbespeuringskode as gevolg van ongeënkripteerde direkte HTTP-versoeke wat buite die VPN-tonnel gestuur is, wat die gebruiker se primêre IP-adres onthul het as die aanvaller die transitoverkeer kon beheer. Die probleem word opgelos deur die gevangeportaalbespeuringsmodus in die instellings te deaktiveer.
Die tweede probleem van medium erns word geassosieer met die gebrek aan behoorlike skoonmaak van nie-numeriese waardes in die poortnommer, wat lekkasie van OAuth-verifikasieparameters moontlik maak deur die poortnommer te vervang met 'n string soos "[e-pos beskerm]", wat sal lei tot die installering van die merker[e-pos beskerm]/?code=..." alt=""> toegang tot example.com in plaas van 127.0.0.1.
Die derde kwessie, wat as gevaarlik gemerk is, laat enige plaaslike toepassing sonder verifikasie toegang tot 'n VPN-kliënt toe via 'n WebSocket wat aan localhost gekoppel is. As 'n voorbeeld word daar gewys hoe, met 'n aktiewe VPN-kliënt, enige webwerf die skepping en stuur van 'n skermskoot kan organiseer deur die screen_capture-gebeurtenis te genereer. Die probleem word nie as 'n kwesbaarheid geklassifiseer nie, aangesien WebSocket slegs in interne toetsbou gebruik is en die gebruik van hierdie kommunikasiekanaal eers in die toekoms beplan is om interaksie met 'n blaaierbyvoeging te organiseer.
Bron: opennet.ru