Mozilla ha anunciado la finalización de una auditoría independiente del software del cliente para conectarse al servicio VPN de Mozilla. La auditoría incluyó un análisis de una aplicación cliente independiente escrita con la biblioteca Qt y disponible para Linux, macOS, Windows, Android e iOS. Mozilla VPN funciona con más de 400 servidores del proveedor de VPN sueco Mullvad, ubicados en más de 30 países. La conexión al servicio VPN se realiza mediante el protocolo WireGuard.
La auditoría fue realizada por Cure53, que en un momento auditó los proyectos NTPsec, SecureDrop, Cryptocat, F-Droid y Dovecot. La auditoría abarcó la verificación de códigos fuente e incluyó pruebas para identificar posibles vulnerabilidades (no se consideraron cuestiones relacionadas con la criptografía). Durante la auditoría se identificaron 16 problemas de seguridad, de los cuales 8 fueron recomendaciones, a 5 se les asignó un nivel de peligrosidad bajo, a dos se les asignó un nivel de peligrosidad medio y a uno se le asignó un nivel de peligrosidad alto.
Sin embargo, solo un problema con un nivel de gravedad medio fue clasificado como vulnerabilidad, ya que era el único explotable. Este problema resultó en una filtración de información de uso de VPN en el código de detección del portal cautivo debido a solicitudes HTTP directas no cifradas enviadas fuera del túnel VPN, lo que revela la dirección IP principal del usuario si el atacante pudiera controlar el tráfico de tránsito. El problema se resuelve desactivando el modo de detección del portal cautivo en la configuración.
El segundo problema de gravedad media está asociado con la falta de una limpieza adecuada de los valores no numéricos en el número de puerto, lo que permite la fuga de parámetros de autenticación OAuth al reemplazar el número de puerto con una cadena como “[email protected]", lo que hará que se instale la etiqueta[email protected]/?code=..." alt=""> accediendo a example.com en lugar de 127.0.0.1.
El tercer problema, marcado como peligroso, permite que cualquier aplicación local sin autenticación acceda a un cliente VPN a través de un WebSocket vinculado a localhost. A modo de ejemplo, se muestra cómo, con un cliente VPN activo, cualquier sitio podría organizar la creación y envío de una captura de pantalla generando el evento screen_capture. El problema no se clasifica como vulnerabilidad, ya que WebSocket se utilizó solo en versiones de prueba internas y el uso de este canal de comunicación solo estaba previsto en el futuro para organizar la interacción con un complemento del navegador.
Fuente: opennet.ru