Mozilla hà annunziatu u cumpletu di un auditu indipendente di u software di u cliente per cunnette à u serviziu Mozilla VPN. L'auditu includeu un'analisi di una applicazione cliente autonoma scritta cù a libreria Qt è dispunibule per Linux, macOS, Windows, Android è iOS. Mozilla VPN hè alimentatu da più di 400 servitori di u fornitore VPN svedese Mullvad, situatu in più di 30 paesi. A cunnessione à u serviziu VPN hè fatta cù u protocolu WireGuard.
L'auditu hè statu realizatu da Cure53, chì in un tempu hà verificatu i prughjetti NTPsec, SecureDrop, Cryptocat, F-Droid è Dovecot. L'auditu copre a verificazione di i codici fonte è includenu testi per identificà e pussibuli vulnerabili (i prublemi ligati à a criptografia ùn sò micca stati cunsiderati). Duranti l'auditu, 16 prublemi di sicurità sò stati identificati, 8 di quali eranu cunsiglii, 5 anu attribuitu un livellu bassu di periculu, dui sò stati attribuiti un livellu mediu, è unu hè statu assignatu un altu livellu di periculu.
Tuttavia, solu un prublema cù un livellu di gravità mediu hè statu classificatu cum'è vulnerabilità, postu chì era l'unicu chì era sfruttable. Stu prublema hà risultatu in a fuga di l'infurmazioni d'utilizazione VPN in u codice di rilevazione di u portale captive per via di richieste HTTP dirette non criptate mandate fora di u tunnel VPN, chì revela l'indirizzu IP primariu di l'utilizatore se l'attaccante puderia cuntrullà u trafficu di transitu. U prublema hè risolta disattivendu u modu di rilevazione di u portale captive in i paràmetri.
U sicondu prublema di gravità media hè assuciatu cù a mancanza di pulizia curretta di i valori non numerichi in u numeru di portu, chì permette a fuga di i paràmetri di autentificazione OAuth rimpiazzendu u numeru di portu cù una stringa cum'è "[email prutettu]", chì farà installà u tag[email prutettu]/?code=..." alt=""> accede à example.com invece di 127.0.0.1.
U terzu prublema, marcatu cum'è periculosu, permette à qualsiasi applicazione locale senza autentificazione per accede à un cliente VPN via un WebSocket ligatu à localhost. Per esempiu, hè mostratu cumu, cù un cliente VPN attivu, ogni situ puderia urganizà a creazione è l'inviu di una screenshot generendu l'avvenimentu screen_capture. U prublema ùn hè micca classificatu cum'è una vulnerabilità, postu chì WebSocket hè stata utilizata solu in testi internu è l'usu di stu canali di cumunicazione hè stata pianificata solu in u futuru per urganizà l'interazzione cù un add-on di navigatore.
Source: opennet.ru