U servisu Librem One, namijenjenom korištenju na pametnom telefonu , odmah nakon izronila sa sigurnošću koja diskredituje projekat, koji se reklamira kao sigurna platforma za privatnost. Ranjivost je pronađena u servisu Librem Chat i omogućila je ulazak u chat kao bilo koji korisnik, bez poznavanja parametara autentifikacije.
U korištenom pozadinskom kodu dozvoljena je autorizacija putem LDAP-a (matrix-appservice-ldap3) za Matrix mrežu , za koji se ispostavilo da je prebačen u kod radne usluge Librem One. Umjesto reda “result, _ = yield self._ldap_simple_bind”, navedeno je “result = yield self._ldap_simple_bind”, što je omogućilo bilo kojem korisniku bez autorizacije da uđe u chat pod bilo kojim identifikatorom. Programeri projekta Matrix napravili su grešku da se problem pojavio samo u glavnoj grani “matrix-appservice-ldap3”, a ne u izdanjima, ali je postojao problematičan red u spremištu od 2016. godine (možda su uslovi za funkcionisanje problema nastali tek nakon nekih drugih nedavnih promena).
Novopokrenuti Librem One set usluga podrazumijeva plaćenu pretplatu (7.99 USD mjesečno ili 71.91 USD godišnje), ali su mobilni klijenti i serverski procesori zasnovani na postojećim otvorenim projektima koji su za distribuciju pod brendom Librem. Na primjer, Librem Chat je preimenovani Matrix klijent Librem Social se zasniva na , Librem Mail preimenovan iz , Tunel Librem je posuđen iz . Komponente servera su zasnovane na
Postfix i Dovecot za Librem Mail, za Librem Chat i za Librem Social. Razlog za isporuku aplikacija pod drugim nazivima je želja da se različite decentralizovane usluge bazirane na otvorenim standardima (Matrix, ActivityPub, IMAP) prikupe pod jednim prepoznatljivim brendom.
izvor: opennet.ru