أعلنت Mozilla عن الانتهاء من تدقيق مستقل لبرنامج العميل للاتصال بخدمة Mozilla VPN. تضمنت المراجعة تحليلاً لتطبيق عميل مستقل مكتوب باستخدام مكتبة Qt ومتاح لأنظمة التشغيل Linux وmacOS وWindows وAndroid وiOS. يتم تشغيل Mozilla VPN بواسطة أكثر من 400 خادم من مزود VPN السويدي Mullvad، الموجود في أكثر من 30 دولة. يتم الاتصال بخدمة VPN باستخدام بروتوكول WireGuard.
تم إجراء التدقيق بواسطة Cure53، التي قامت في وقت ما بمراجعة مشاريع NTPsec وSecureDrop وCryptocat وF-Droid وDovecot. غطت المراجعة التحقق من أكواد المصدر وتضمنت اختبارات لتحديد نقاط الضعف المحتملة (لم يتم أخذ المشكلات المتعلقة بالتشفير في الاعتبار). أثناء التدقيق، تم تحديد 16 مشكلة تتعلق بالسلامة، 8 منها كانت توصيات، وتم تعيين 5 منها على مستوى منخفض من الخطر، واثنتان على مستوى متوسط، وواحدة على مستوى عال من الخطر.
ومع ذلك، تم تصنيف مشكلة واحدة فقط ذات مستوى خطورة متوسط على أنها ثغرة أمنية، لأنها كانت المشكلة الوحيدة التي يمكن استغلالها. أدت هذه المشكلة إلى تسرب معلومات استخدام VPN في رمز اكتشاف البوابة المقيدة بسبب طلبات HTTP المباشرة غير المشفرة المرسلة خارج نفق VPN، مما يكشف عن عنوان IP الأساسي للمستخدم إذا كان المهاجم يمكنه التحكم في حركة مرور النقل. تم حل المشكلة عن طريق تعطيل وضع اكتشاف البوابة المقيدة في الإعدادات.
المشكلة الثانية ذات الخطورة المتوسطة ترتبط بعدم التنظيف الصحيح للقيم غير الرقمية في رقم المنفذ، مما يسمح بتسرب معلمات مصادقة OAuth عن طريق استبدال رقم المنفذ بسلسلة مثل “[البريد الإلكتروني محمي]"، مما سيؤدي إلى تثبيت العلامة[البريد الإلكتروني محمي]/?code=..." alt=""> الوصول إلى example.com بدلاً من 127.0.0.1.
المشكلة الثالثة، التي تم وضع علامة عليها على أنها خطيرة، تسمح لأي تطبيق محلي دون مصادقة بالوصول إلى عميل VPN عبر WebSocket المرتبط بالمضيف المحلي. على سبيل المثال، يظهر كيف يمكن لأي موقع، باستخدام عميل VPN نشط، تنظيم إنشاء وإرسال لقطة شاشة عن طريق إنشاء حدث screen_capture. لم يتم تصنيف المشكلة على أنها ثغرة أمنية، حيث تم استخدام WebSocket فقط في تصميمات الاختبار الداخلي وتم التخطيط لاستخدام قناة الاتصال هذه في المستقبل فقط لتنظيم التفاعل مع وظيفة إضافية للمتصفح.
المصدر: opennet.ru