В сервисе Librem One, нацеленном на использование в смартфоне , сразу после всплыла с безопасностью, которая дискредитирует проект, преподносимый как защищённая платформа для обеспечения приватности. Уязвимость найдена в сервисе Librem Chat и позволяла зайти в чат под любым пользователем, без знания параметров аудентификации.
В использованном коде бэкенда авторизации через LDAP (matrix-appservice-ldap3) для сети Matrix была допущена , которая оказалась перенесена и в код рабочего сервиса Librem One. Вместо строки «result, _ = yield self._ldap_simple_bind» было указано «result = yield self._ldap_simple_bind», что позволяло любому пользователю без авторизации войти в чат под любым идентификатором. Допустившие ошибку разработчики проекта Matrix , что проблема проявлялась только в master-ветке «matrix-appservice-ldap3», а не в релизах, но в репозитории проблемная строка ещё с 2016 года (возможно условия для эксплуатации проблемы возникли только после каких-то других недавних изменений).
Введённый в строй набор сервисов Librem One подразумевает платную подписку ($7.99 в месяц или $71.91 в год), но при этом за основу мобильных клиентов и серверных обработчиков взяты существующие открытые проекты, которые были для распространения под брендом Librem. Например, Librem Chat является переименованным Matrix-клиентом , Librem Social основан на , Librem Mail переименован из , Librem Tunnel заимствован из . Серверные компоненты основаны на
Postfix и Dovecot для Librem Mail, для Librem Chat и для Librem Social. В качестве причины поставки приложений под другими названиями называется желать собрать под одним узнаваемым брендом различные децентрализованные сервисы на базе открытых стантартов (Matrix, ActivityPub, IMAP).
Источник: opennet.ru