Mozilla oznámila dokončení nezávislého auditu klientského softwaru pro připojení ke službě Mozilla VPN. Audit zahrnoval analýzu samostatné klientské aplikace napsané pomocí knihovny Qt a dostupné pro Linux, macOS, Windows, Android a iOS. Mozilla VPN je poháněna více než 400 servery švédského poskytovatele VPN Mullvad, který se nachází ve více než 30 zemích. Připojení ke službě VPN se provádí pomocí protokolu WireGuard.
Audit provedla společnost Cure53, která svého času auditovala projekty NTPsec, SecureDrop, Cryptocat, F-Droid a Dovecot. Audit zahrnoval ověřování zdrojových kódů a zahrnoval testy k identifikaci možných zranitelností (problémy související s kryptografií nebyly vzaty v úvahu). Během auditu bylo identifikováno 16 bezpečnostních problémů, z toho 8 doporučení, 5 nízký stupeň nebezpečí, dva střední stupeň a jeden vysoký stupeň nebezpečí.
Avšak pouze jeden problém se střední úrovní závažnosti byl klasifikován jako chyba zabezpečení, protože byl jediný, který byl zneužitelný. Tento problém vedl k úniku informací o využití VPN v detekčním kódu captive portálu v důsledku nešifrovaných přímých požadavků HTTP odeslaných mimo tunel VPN, které odhalily primární IP adresu uživatele, pokud by útočník mohl ovládat tranzitní provoz. Problém je vyřešen vypnutím režimu detekce captive portálu v nastavení.
Druhý problém střední závažnosti je spojen s nedostatečným řádným čištěním nečíselných hodnot v čísle portu, což umožňuje únik autentizačních parametrů OAuth nahrazením čísla portu řetězcem jako „[chráněno e-mailem]", což způsobí instalaci značky[chráněno e-mailem]/?code=..." alt=""> přistupuje k example.com místo 127.0.0.1.
Třetí problém, označený jako nebezpečný, umožňuje jakékoli lokální aplikaci bez ověření přistupovat k VPN klientovi přes WebSocket vázaný na localhost. Jako příklad je ukázáno, jak s aktivním klientem VPN může jakýkoli web zorganizovat vytvoření a odeslání snímku obrazovky vygenerováním události screen_capture. Problém není klasifikován jako zranitelnost, protože WebSocket byl používán pouze v interních testovacích sestaveních a použití tohoto komunikačního kanálu bylo v budoucnu plánováno pouze k organizaci interakce s doplňkem prohlížeče.
Zdroj: opennet.ru