В услугата Librem One, насочена към използване в смартфон , веднага след изплува със сигурност, която дискредитира проекта, който се представя като сигурна платформа за гарантиране на поверителност. Уязвимостта е открита в услугата Librem Chat и е разрешено влизане в чата под всеки потребител, без да се знаят параметрите за удостоверяване.
В използвания бекенд код беше позволено оторизиране чрез LDAP (matrix-appservice-ldap3) за мрежата Matrix , който се оказа прехвърлен към кода на работещата услуга Librem One. Вместо низа "result, _ = yield self._ldap_simple_bind", беше указано "result = yield self._ldap_simple_bind", което позволява на всеки потребител без разрешение да влезе в чата под произволен идентификатор. Разработчиците на проекта Matrix, които направиха грешка че проблемът се появява само в главния клон "matrix-appservice-ldap3", а не в версиите, а в хранилището проблемният ред от 2016 г. (може би работните условия на проблема са възникнали само след някои други скорошни промени).
Наборът от въведени в експлоатация услуги на Librem One предполага платен абонамент ($7.99 на месец или $71.91 на година), но в същото време съществуващи отворени проекти, които бяха взети като основа за мобилни клиенти и сървърни манипулатори за разпространение под марката Librem. Например Librem Chat е преименуван Matrix клиент , базиран на Librem Social , Librem Mail преименуван от , Librem Tunnel заимстван от . Сървърните компоненти са базирани на
Postfix и Dovecot за Librem Mail, за Librem Chat и за Librem Social. Причината за предоставяне на приложения под други имена е желанието да се съберат различни децентрализирани услуги, базирани на отворени стандарти (Matrix, ActivityPub, IMAP) под една разпознаваема марка.
Източник: opennet.ru