Η Mozilla ανακοίνωσε την ολοκλήρωση ενός ανεξάρτητου ελέγχου λογισμικού πελάτη για σύνδεση στην υπηρεσία Mozilla VPN. Ο έλεγχος περιελάμβανε ανάλυση μιας αυτόνομης εφαρμογής πελάτη γραμμένη με τη βιβλιοθήκη Qt και διαθέσιμη για Linux, macOS, Windows, Android και iOS. Το Mozilla VPN τροφοδοτείται από περισσότερους από 400 διακομιστές του σουηδικού παρόχου VPN Mullvad, που βρίσκεται σε περισσότερες από 30 χώρες. Η σύνδεση με την υπηρεσία VPN γίνεται χρησιμοποιώντας το πρωτόκολλο WireGuard.
Ο έλεγχος διενεργήθηκε από την Cure53, η οποία κάποτε έλεγξε τα έργα NTPsec, SecureDrop, Cryptocat, F-Droid και Dovecot. Ο έλεγχος κάλυψε την επαλήθευση των πηγαίων κωδίκων και περιλάμβανε δοκιμές για τον εντοπισμό πιθανών τρωτών σημείων (δεν εξετάστηκαν ζητήματα που σχετίζονται με την κρυπτογραφία). Κατά τον έλεγχο εντοπίστηκαν 16 ζητήματα ασφάλειας, 8 εκ των οποίων ήταν συστάσεις, σε 5 αποδόθηκε χαμηλό επίπεδο επικινδυνότητας, σε δύο μεσαίο επίπεδο και σε ένα υψηλό επίπεδο επικινδυνότητας.
Ωστόσο, μόνο ένα ζήτημα με μεσαίο επίπεδο σοβαρότητας ταξινομήθηκε ως ευπάθεια, καθώς ήταν το μόνο που ήταν εκμεταλλεύσιμο. Αυτό το ζήτημα είχε ως αποτέλεσμα τη διαρροή των πληροφοριών χρήσης VPN στον κώδικα εντοπισμού πύλης δέσμευσης λόγω μη κρυπτογραφημένων άμεσων αιτημάτων HTTP που αποστέλλονται έξω από τη σήραγγα VPN, αποκαλύπτοντας την κύρια διεύθυνση IP του χρήστη, εάν ο εισβολέας μπορούσε να ελέγξει την κίνηση συγκοινωνίας. Το πρόβλημα επιλύεται απενεργοποιώντας τη λειτουργία εντοπισμού πύλης στις ρυθμίσεις.
Το δεύτερο πρόβλημα μέτριας σοβαρότητας σχετίζεται με την έλλειψη κατάλληλου καθαρισμού των μη αριθμητικών τιμών στον αριθμό θύρας, που επιτρέπει τη διαρροή των παραμέτρων ελέγχου ταυτότητας OAuth αντικαθιστώντας τον αριθμό θύρας με μια συμβολοσειρά όπως "[προστασία μέσω email]", που θα προκαλέσει την εγκατάσταση της ετικέτας[προστασία μέσω email]/?code=..." alt=""> πρόσβαση στο example.com αντί για 127.0.0.1.
Το τρίτο ζήτημα, που έχει επισημανθεί ως επικίνδυνο, επιτρέπει σε οποιαδήποτε τοπική εφαρμογή χωρίς έλεγχο ταυτότητας να έχει πρόσβαση σε έναν πελάτη VPN μέσω ενός WebSocket που είναι συνδεδεμένο σε localhost. Ως παράδειγμα, παρουσιάζεται πώς, με έναν ενεργό πελάτη VPN, οποιοσδήποτε ιστότοπος θα μπορούσε να οργανώσει τη δημιουργία και την αποστολή ενός στιγμιότυπου οθόνης δημιουργώντας το συμβάν screen_capture. Το πρόβλημα δεν ταξινομείται ως ευπάθεια, καθώς το WebSocket χρησιμοποιήθηκε μόνο σε εσωτερικές δοκιμαστικές εκδόσεις και η χρήση αυτού του καναλιού επικοινωνίας είχε προγραμματιστεί μόνο στο μέλλον για την οργάνωση της αλληλεπίδρασης με ένα πρόσθετο προγράμματος περιήγησης.
Πηγή: opennet.ru