Im Librem One-Dienst, der auf die Nutzung auf einem Smartphone ausgerichtet ist , sofort nach aufgetaucht mit Sicherheit, die das Projekt diskreditiert, das als sichere Datenschutzplattform angepriesen wird. Die Schwachstelle wurde im Librem Chat-Dienst gefunden und ermöglichte den Zugang zum Chat als beliebiger Benutzer, ohne die Authentifizierungsparameter zu kennen.
Im verwendeten Backend-Code war die Autorisierung über LDAP (matrix-appservice-ldap3) für das Matrix-Netzwerk erlaubt , die sich als auf den Code des Arbeitsdienstes Librem One übertragen erwies. Anstelle der Zeile „result, _ = yield self._ldap_simple_bind“ wurde „result = yield self._ldap_simple_bind“ angegeben, was jedem Benutzer ohne Berechtigung erlaubte, den Chat unter einer beliebigen Kennung zu betreten. Den Entwicklern des Matrix-Projekts ist ein Fehler unterlaufen dass das Problem nur im Master-Zweig „matrix-appservice-ldap3“ und nicht in Releases auftrat, es aber eine problematische Zeile im Repository gab seit 2016 (vielleicht sind die Bedingungen für den Betrieb des Problems erst nach einigen anderen kürzlichen Änderungen entstanden).
Für die neu eingeführten Dienste von Librem One ist ein kostenpflichtiges Abonnement erforderlich (7.99 US-Dollar pro Monat oder 71.91 US-Dollar pro Jahr), aber die mobilen Clients und Serverprozessoren basieren auf bestehenden offenen Projekten zum Vertrieb unter der Marke Librem. Beispielsweise ist Librem Chat ein umbenannter Matrix-Client Librem Social basiert auf , Librem Mail umbenannt in , Librem Tunnel ist entlehnt von . Serverkomponenten basieren auf
Postfix und Dovecot für Librem Mail, für Librem Chat und für Liber Social. Der Grund für die Bereitstellung von Anwendungen unter anderen Namen ist der Wunsch, verschiedene dezentrale Dienste auf Basis offener Standards (Matrix, ActivityPub, IMAP) unter einer erkennbaren Marke zu vereinen.
Source: opennet.ru