Mozilla ha anunciat la finalització d'una auditoria independent del programari client per connectar-se al servei VPN de Mozilla. L'auditoria va incloure una anàlisi d'una aplicació client autònoma escrita amb la biblioteca Qt i disponible per a Linux, macOS, Windows, Android i iOS. Mozilla VPN funciona amb més de 400 servidors del proveïdor suec de VPN Mullvad, situat a més de 30 països. La connexió al servei VPN es fa mitjançant el protocol WireGuard.
L'auditoria va ser realitzada per Cure53, que en un moment va auditar els projectes NTPsec, SecureDrop, Cryptocat, F-Droid i Dovecot. L'auditoria va cobrir la verificació dels codis font i va incloure proves per identificar possibles vulnerabilitats (no es van tenir en compte els problemes relacionats amb la criptografia). Durant l'auditoria, s'han identificat 16 qüestions de seguretat, 8 de les quals eren recomanacions, 5 se'ls va assignar un nivell de perill baix, dos se'ls va assignar un nivell mitjà i un nivell de perill elevat.
No obstant això, només un problema amb un nivell de gravetat mitjà es va classificar com a vulnerabilitat, ja que era l'únic explotable. Aquest problema va provocar la filtració d'informació d'ús de VPN al codi de detecció del portal captiu a causa de les sol·licituds HTTP directes no xifrades enviades fora del túnel VPN, revelant l'adreça IP principal de l'usuari si l'atacant podia controlar el trànsit de trànsit. El problema es resol desactivant el mode de detecció del portal captiu a la configuració.
El segon problema de gravetat mitjana s'associa a la manca d'una neteja adequada dels valors no numèrics en el número de port, que permet la fuga de paràmetres d'autenticació OAuth substituint el número de port per una cadena com "[protegit per correu electrònic]", que farà que l'etiqueta s'instal·li[protegit per correu electrònic]/?code=..." alt=""> accedint a example.com en lloc de 127.0.0.1.
El tercer problema, marcat com a perillós, permet a qualsevol aplicació local sense autenticació accedir a un client VPN mitjançant un WebSocket vinculat a localhost. Com a exemple, es mostra com, amb un client VPN actiu, qualsevol lloc podria organitzar la creació i l'enviament d'una captura de pantalla generant l'esdeveniment screen_capture. El problema no es classifica com a vulnerabilitat, ja que WebSocket només es va utilitzar en versions de proves internes i l'ús d'aquest canal de comunicació només es va planificar en el futur per organitzar la interacció amb un complement del navegador.
Font: opennet.ru