في خدمة Librem One، التي تهدف إلى الاستخدام على الهاتف الذكي ، تماما بعد ظهرت مع الأمان الذي يشوه المشروع، والذي يوصف بأنه منصة خصوصية آمنة. وتم العثور على الثغرة الأمنية في خدمة Librem Chat، وأتاحت إمكانية الدخول إلى الدردشة كأي مستخدم، دون معرفة معلمات المصادقة.
في كود الواجهة الخلفية المستخدم، تم السماح بالتفويض عبر LDAP (matrix-appservice-ldap3) لشبكة Matrix والتي تبين أنها تم نقلها إلى رمز خدمة العمل Librem One. بدلاً من السطر "النتيجة، _ = العائد الذاتي._ldap_simple_bind"، تم تحديد "النتيجة = العائد الذاتي._ldap_simple_bind"، والذي يسمح لأي مستخدم دون إذن بالدخول إلى الدردشة تحت أي معرف. لقد ارتكب مطورو مشروع Matrix خطأً أن المشكلة ظهرت فقط في الفرع الرئيسي "matrix-appservice-ldap3"، وليس في الإصدارات، ولكن كان هناك سطر مشكلة في المستودع منذ عام 2016 (ربما نشأت ظروف تشغيل المشكلة فقط بعد بعض التغييرات الأخيرة الأخرى).
تتضمن مجموعة خدمات Librem One التي تم إطلاقها حديثًا اشتراكًا مدفوعًا (7.99 دولارًا شهريًا أو 71.91 دولارًا سنويًا)، لكن عملاء الهاتف المحمول ومعالجات الخادم يعتمدون على المشاريع المفتوحة الحالية التي تم للتوزيع تحت العلامة التجارية Librem. على سبيل المثال، Librem Chat هو عميل Matrix تمت إعادة تسميته يعتمد Librem Social على ، تمت إعادة تسمية Librem Mail من ، تم استعارة نفق Librem من . تعتمد مكونات الخادم على
Postfix وDovecot لـ Librem Mail، لدردشة Librem و لليبريم الاجتماعية. السبب وراء تقديم التطبيقات تحت أسماء أخرى هو الرغبة في جمع العديد من الخدمات اللامركزية بناءً على معايير مفتوحة (Matrix، ActivityPub، IMAP) تحت علامة تجارية واحدة يمكن التعرف عليها.
المصدر: opennet.ru