Im Librem One-Service, der für die Verwendung auf Smartphones konzipiert ist , unmittelbar nach tauchte in Bezug auf die Sicherheit auf, das das Projekt diskreditiert, das als sichere Plattform für den Datenschutz angepriesen wurde. Die Schwachstelle wurde im Librem Chat-Service gefunden und ermöglichte es, sich unter beliebigem Benutzerkonto in den Chat einzuloggen, ohne die Authentifizierungsparameter zu kennen.
Im verwendeten Code des Autorisierungs-Backends über LDAP (matrix-appservice-ldap3) für das Matrix-Netzwerk gab es einen Fehler , der auch in den Code des funktionierenden Librem One-Service übernommen wurde. Anstelle der Zeile «result, _ = yield self._ldap_simple_bind» wurde «result = yield self._ldap_simple_bind» angegeben, was es jedem Benutzer ohne Authentifizierung ermöglichte, sich unter beliebiger Identifikation in den Chat einzuloggen. Die verantwortlichen Entwickler des Projekts Matrix , gaben an, dass das Problem nur im Master-Branch «matrix-appservice-ldap3» auftrat und nicht in den Releases, jedoch ist die problematische Zeile (möglicherweise traten die Bedingungen für die Ausnutzung des Problems erst nach einigen anderen jüngsten Änderungen auf).
Das eingeführte Set von Librem One-Diensten erfordert ein kostenpflichtiges Abonnement (7,99 $ pro Monat oder 71,91 $ pro Jahr). Dabei basieren die mobilen Clients und Server-Handler auf bestehenden offenen Projekten, die um unter der Marke Librem verbreitet zu werden. Beispielsweise ist Librem Chat ein umbenannter Matrix-Client, Librem Social basiert auf Librem Mail wurde aus Librem Tunnel stammt von Die Serverkomponenten basieren auf
Postfix und Dovecot für Librem Mail, für Librem Chat, und für Librem Social. Der Grund für die Bereitstellung der Anwendungen unter verschiedenen Namen besteht darin, verschiedene dezentralisierte Dienste auf Basis offener Standards (Matrix, ActivityPub, IMAP) unter einer einheitlichen, erkennbaren Marke zu bündeln.
Quelle: opennet.ru
