En el servicio Librem One, destinado a su uso en un teléfono inteligente , justo después de emergió con seguridad que desacredita el proyecto, que se promociona como una plataforma de privacidad segura. La vulnerabilidad fue encontrada en el servicio Librem Chat y permitía ingresar al chat como cualquier usuario, sin conocer los parámetros de autenticación.
En el código backend utilizado se permitía la autorización vía LDAP (matrix-appservice-ldap3) para la red Matrix , que resultó ser transferido al código del servicio en funcionamiento Librem One. En lugar de la línea “resultado, _ = Yield self._ldap_simple_bind”, se especificó “resultado = Yield self._ldap_simple_bind”, lo que permitía a cualquier usuario sin autorización ingresar al chat con cualquier identificador. Los desarrolladores del proyecto Matrix cometieron un error que el problema solo aparecía en la rama maestra “matrix-appservice-ldap3”, y no en las versiones, pero había una línea problemática en el repositorio desde 2016 (quizás las condiciones para operar el problema surgieron solo después de algunos otros cambios recientes).
El conjunto de servicios Librem One recientemente lanzado implica una suscripción paga ($7.99 por mes o $71.91 por año), pero los clientes móviles y los procesadores de servidor se basan en proyectos abiertos existentes que fueron para distribución bajo la marca Librem. Por ejemplo, Librem Chat es un cliente Matrix renombrado Librem Social se basa en , Librem Mail renombrado de , El túnel Librem está tomado de . Los componentes del servidor se basan en
Postfix y Dovecot para Librem Mail, para Librem Chat y para Librem Social. El motivo para entregar aplicaciones con otros nombres es el deseo de reunir varios servicios descentralizados basados en estándares abiertos (Matrix, ActivityPub, IMAP) bajo una marca reconocible.
Fuente: opennet.ru