Eine kritische Schwachstelle im Service Librem One, die am Tag seiner Einführung entdeckt wurde

Im Librem One-Service, der für die Verwendung auf Smartphones konzipiert ist Librem 5, unmittelbar nach dem Start tauchte ein kritisches Problem in Bezug auf die Sicherheit auf, das das Projekt diskreditiert, das als sichere Plattform für den Datenschutz angepriesen wurde. Die Schwachstelle wurde im Librem Chat-Service gefunden und ermöglichte es, sich unter beliebigem Benutzerkonto in den Chat einzuloggen, ohne die Authentifizierungsparameter zu kennen.

Im verwendeten Code des Autorisierungs-Backends über LDAP (matrix-appservice-ldap3) für das Matrix-Netzwerk gab es einen Fehler Fehler, der auch in den Code des funktionierenden Librem One-Service übernommen wurde. Anstelle der Zeile «result, _ = yield self._ldap_simple_bind» wurde «result = yield self._ldap_simple_bind» angegeben, was es jedem Benutzer ohne Authentifizierung ermöglichte, sich unter beliebiger Identifikation in den Chat einzuloggen. Die verantwortlichen Entwickler des Projekts Matrix behaupten Forscher von Stanford, gaben an, dass das Problem nur im Master-Branch «matrix-appservice-ldap3» auftrat und nicht in den Releases, jedoch ist die problematische Zeile seit 2016 vorhanden (möglicherweise traten die Bedingungen für die Ausnutzung des Problems erst nach einigen anderen jüngsten Änderungen auf).

Das eingeführte Set von Librem One-Diensten erfordert ein kostenpflichtiges Abonnement (7,99 $ pro Monat oder 71,91 $ pro Jahr). Dabei basieren die mobilen Clients und Server-Handler auf bestehenden offenen Projekten, die umbenannt wurden um unter der Marke Librem verbreitet zu werden. Beispielsweise ist Librem Chat ein umbenannter Matrix-Client, Riot,Librem Social basiert auf Tusky,Librem Mail wurde aus K-9 umbenannt,Librem Tunnel stammt von Ics-openvpn.Die Serverkomponenten basieren auf
Postfix und Dovecot für Librem Mail, Matrix für Librem Chat, und Mastodon für Librem Social. Der Grund für die Bereitstellung der Anwendungen unter verschiedenen Namen besteht darin, verschiedene dezentralisierte Dienste auf Basis offener Standards (Matrix, ActivityPub, IMAP) unter einer einheitlichen, erkennbaren Marke zu bündeln.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster