Mozilla je najavila završetak nezavisne revizije klijentskog softvera za povezivanje na Mozilla VPN servis. Revizija je uključivala analizu samostalne klijentske aplikacije napisane pomoću Qt biblioteke i dostupne za Linux, macOS, Windows, Android i iOS. Mozilla VPN pokreće više od 400 servera švedskog VPN provajdera Mullvad, koji se nalaze u više od 30 zemalja. Povezivanje na VPN servis se vrši pomoću WireGuard protokola.
Reviziju je izvršio Cure53, koji je svojevremeno vršio reviziju projekata NTPsec, SecureDrop, Cryptocat, F-Droid i Dovecot. Revizija je obuhvatila verifikaciju izvornih kodova i uključila testove za identifikaciju mogućih ranjivosti (pitanja vezana za kriptografiju nisu razmatrana). Tokom revizije identifikovano je 16 sigurnosnih pitanja, od kojih je 8 bilo preporuka, 5 je dodijeljeno niskom stepenu opasnosti, dvama je dodijeljen srednji nivo, a jednom visokom stepenu opasnosti.
Međutim, samo jedan problem srednjeg stepena ozbiljnosti je klasifikovan kao ranjivost, budući da je bio jedini koji se mogao iskoristiti. Ovaj problem je rezultirao curenjem informacija o korištenju VPN-a u kodu za otkrivanje zarobljenog portala zbog nešifriranih direktnih HTTP zahtjeva poslatih izvan VPN tunela, otkrivajući primarnu IP adresu korisnika ako bi napadač mogao kontrolirati tranzitni promet. Problem se rješava onemogućavanjem moda detekcije captive portala u postavkama.
Drugi problem srednje ozbiljnosti povezan je s nedostatkom pravilnog čišćenja nenumeričkih vrijednosti u broju porta, što omogućava curenje parametara OAuth autentifikacije zamjenom broja porta nizom poput "[email zaštićen]", što će uzrokovati instaliranje oznake[email zaštićen]/?code=..." alt=""> pristupanje example.com umjesto 127.0.0.1.
Treći problem, označen kao opasan, dozvoljava bilo kojoj lokalnoj aplikaciji bez autentifikacije da pristupi VPN klijentu preko WebSocketa vezanog za localhost. Kao primjer, prikazano je kako, s aktivnim VPN klijentom, bilo koja lokacija može organizirati kreiranje i slanje screenshot-a generiranjem događaja screen_capture. Problem nije klasifikovan kao ranjivost, jer se WebSocket koristio samo u internim testnim verzijama, a korištenje ovog komunikacijskog kanala planirano je u budućnosti samo za organizaciju interakcije sa dodatkom pretraživača.
izvor: opennet.ru