Mozilla har annonceret færdiggørelsen af en uafhængig revision af klientsoftware til tilslutning til Mozilla VPN-tjenesten. Revisionen omfattede en analyse af en selvstændig klientapplikation skrevet ved hjælp af Qt-biblioteket og tilgængelig til Linux, macOS, Windows, Android og iOS. Mozilla VPN drives af mere end 400 servere fra den svenske VPN-udbyder Mullvad, der er placeret i mere end 30 lande. Forbindelse til VPN-tjenesten sker ved hjælp af WireGuard-protokollen.
Revisionen blev udført af Cure53, som på et tidspunkt reviderede NTPsec-, SecureDrop-, Cryptocat-, F-Droid- og Dovecot-projekterne. Revisionen omfattede verifikation af kildekoder og omfattede test for at identificere mulige sårbarheder (problemer relateret til kryptografi blev ikke taget i betragtning). Under revisionen blev 16 sikkerhedsproblemer identificeret, hvoraf 8 var anbefalinger, 5 blev tildelt et lavt fareniveau, to blev tildelt et medium niveau, og et blev tildelt et højt fareniveau.
Kun ét problem med et middelsværhedsniveau blev dog klassificeret som en sårbarhed, da det var det eneste, der kunne udnyttes. Dette problem resulterede i lækage af VPN-brugsoplysninger i den captive portal-detektionskode på grund af ukrypterede direkte HTTP-anmodninger sendt uden for VPN-tunnelen, hvilket afslørede brugerens primære IP-adresse, hvis angriberen kunne kontrollere transittrafikken. Problemet er løst ved at deaktivere captive portal-detektionstilstanden i indstillingerne.
Det andet problem med medium sværhedsgrad er forbundet med manglen på korrekt rensning af ikke-numeriske værdier i portnummeret, hvilket tillader lækage af OAuth-godkendelsesparametre ved at erstatte portnummeret med en streng som "[e-mail beskyttet]", hvilket vil få tagget til at blive installeret[e-mail beskyttet]/?code=..." alt=""> får adgang til example.com i stedet for 127.0.0.1.
Det tredje problem, der er markeret som farligt, tillader enhver lokal applikation uden godkendelse at få adgang til en VPN-klient via en WebSocket bundet til localhost. Som et eksempel er det vist, hvordan ethvert websted med en aktiv VPN-klient kunne organisere oprettelsen og afsendelsen af et skærmbillede ved at generere screen_capture-hændelsen. Problemet er ikke klassificeret som en sårbarhed, da WebSocket kun blev brugt i interne testbuilds, og brugen af denne kommunikationskanal først var planlagt i fremtiden for at organisere interaktion med en browser-tilføjelse.
Kilde: opennet.ru