Mozilla hat den Abschluss einer unabhängigen Prüfung der Client-Software für die Verbindung zum Mozilla VPN-Dienst bekannt gegeben. Das Audit umfasste eine Analyse einer eigenständigen Client-Anwendung, die mit der Qt-Bibliothek geschrieben wurde und für Linux, macOS, Windows, Android und iOS verfügbar ist. Mozilla VPN wird von mehr als 400 Servern des schwedischen VPN-Anbieters Mullvad betrieben, die in mehr als 30 Ländern vertreten sind. Die Verbindung zum VPN-Dienst erfolgt über das WireGuard-Protokoll.
Die Prüfung wurde von Cure53 durchgeführt, das einst die Projekte NTPsec, SecureDrop, Cryptocat, F-Droid und Dovecot prüfte. Die Prüfung umfasste die Überprüfung der Quellcodes und umfasste Tests zur Identifizierung möglicher Schwachstellen (Probleme im Zusammenhang mit der Kryptografie wurden nicht berücksichtigt). Während des Audits wurden 16 Sicherheitsprobleme identifiziert, davon 8 Empfehlungen, 5 wurde eine niedrige Gefahrenstufe zugeordnet, zwei wurden einer mittleren Gefahrenstufe zugeordnet und eines wurde einer hohen Gefahrenstufe zugeordnet.
Allerdings wurde nur ein Problem mit mittlerem Schweregrad als Schwachstelle eingestuft, da es das einzige war, das ausgenutzt werden konnte. Dieses Problem führte zu einem Verlust von VPN-Nutzungsinformationen im Captive-Portal-Erkennungscode aufgrund unverschlüsselter direkter HTTP-Anfragen, die außerhalb des VPN-Tunnels gesendet wurden, wodurch die primäre IP-Adresse des Benutzers preisgegeben wurde, wenn der Angreifer den Transitverkehr kontrollieren konnte. Das Problem wird gelöst, indem der Captive-Portal-Erkennungsmodus in den Einstellungen deaktiviert wird.
Das zweite Problem mittlerer Schwere hängt mit der fehlenden ordnungsgemäßen Bereinigung nicht numerischer Werte in der Portnummer zusammen, was zu einem Verlust von OAuth-Authentifizierungsparametern führt, indem die Portnummer durch eine Zeichenfolge wie „[E-Mail geschützt] ", was zur Installation des Tags führt[E-Mail geschützt] /?code=..." alt=""> Zugriff auf example.com anstelle von 127.0.0.1.
Das dritte, als gefährlich gekennzeichnete Problem ermöglicht es jeder lokalen Anwendung ohne Authentifizierung, über einen an localhost gebundenen WebSocket auf einen VPN-Client zuzugreifen. Als Beispiel wird gezeigt, wie bei einem aktiven VPN-Client jede Site die Erstellung und den Versand eines Screenshots organisieren könnte, indem sie das Ereignis screen_capture generiert. Das Problem wird nicht als Schwachstelle eingestuft, da WebSocket nur in internen Test-Builds verwendet wurde und die Nutzung dieses Kommunikationskanals in Zukunft nur zur Organisation der Interaktion mit einem Browser-Add-on geplant war.
Source: opennet.ru