Teenuses Librem One, mis on mõeldud kasutamiseks nutitelefonis , kohe pärast pinnale kerkinud turvalisusega, mis diskrediteerib projekti, mida reklaamitakse turvalise privaatsusplatvormina. Haavatavus leiti Librem Chati teenusest ja see võimaldas vestlusesse siseneda mis tahes kasutajana, ilma autentimisparameetreid teadmata.
Kasutatud taustakoodis oli Matrixi võrgu autoriseerimine LDAP-i (matrix-appservice-ldap3) kaudu lubatud , mis osutus ülekantuks Librem One tööteenuse koodile. Rea "result, _ = tootlus ise._ldap_simple_bind" asemel määrati "result = tootlus ise._ldap_simple_bind", mis võimaldas igal kasutajal ilma loata siseneda vestlusesse mis tahes identifikaatori all. Matrixi projekti arendajad tegid vea et probleem ilmnes ainult põhiharus "matrix-appservice-ldap3" ja mitte väljaannetes, vaid hoidlas on probleemne rida aastast 2016 (võib-olla tekkisid tingimused probleemi lahendamiseks alles pärast mõningaid muid hiljutisi muudatusi).
Äsja käivitatud Librem One'i teenuste komplekt hõlmab tasulist tellimust (7.99 dollarit kuus või 71.91 dollarit aastas), kuid mobiilikliendid ja serveriprotsessorid põhinevad olemasolevatel avatud projektidel, mis olid levitamiseks kaubamärgi Librem all. Näiteks Librem Chat on ümbernimetatud Matrixi klient Librem Social põhineb , Librem Mail on ümber nimetatud , Librem Tunnel on laenatud . Serveri komponendid põhinevad
Postfix ja Dovecot Librem Maili jaoks, jaoks Librem Chat ja Librem Social jaoks. Muude nimede all rakenduste tarnimise põhjuseks on soov koondada ühe äratuntava kaubamärgi alla erinevaid avatud standarditel põhinevaid detsentraliseeritud teenuseid (Matrix, ActivityPub, IMAP).
Allikas: opennet.ru