У сэрвісе Librem One, накіраваным на выкарыстанне ў смартфоне , адразу пасля ўсплыла з бяспекай, якая дыскрэдытуе праект, які падаецца як абароненая платформа для забеспячэння прыватнасці. Уразлівасць знойдзена ў сэрвісе Librem Chat і дазваляла зайсці ў чат пад любым карыстальнікам, без ведання параметраў аўдэнтыфікацыі.
У выкарыстаным кодзе бэкенда аўтарызацыі праз LDAP (matrix-appservice-ldap3) для сеткі Matrix была дапушчаная , якая аказалася перанесена і ў код працоўнага сэрвісу Librem One. Замест радка "result, _ = yield self._ldap_simple_bind" было паказана "result = yield self._ldap_simple_bind", што дазваляла любому карыстачу без аўтарызацыі ўвайсці ў чат пад любым ідэнтыфікатарам. Якія дапусцілі памылку распрацоўшчыкі праекта Matrix , што праблема выяўлялася толькі ў master-галінцы «matrix-appservice-ldap3», а не ў рэлізах, але ў рэпазітары праблемны радок яшчэ з 2016 года (магчыма ўмовы для эксплуатацыі праблемы ўзніклі толькі пасля нейкіх іншых нядаўніх змен).
Уведзены ў строй набор сэрвісаў Librem One мае на ўвазе платную падпіску ($7.99 у месяц ці $71.91 у год), але пры гэтым за аснову мабільных кліентаў і серверных апрацоўшчыкаў узятыя існыя адчыненыя праекты, якія былі для распаўсюджвання пад брэндам Librem. Напрыклад, Librem Chat з'яўляецца пераназваным Matrix-кліентам , Librem Social заснаваны на , Librem Mail перайменаваны з , Librem Tunnel запазычаны з . Серверныя кампаненты заснаваны на
Postfix і Dovecot для Librem Mail, для Librem Chat і для Librem Social. У якасці прычыны пастаўкі прыкладанняў пад іншымі назвамі называецца жадаць сабраць пад адным вядомым брэндам розныя дэцэнтралізаваныя сэрвісы на базе адкрытых стантартаў (Matrix, ActivityPub, IMAP).
Крыніца: opennet.ru