Mozilla on teatanud Mozilla VPN-teenusega ühenduse loomiseks mõeldud klienditarkvara sõltumatu auditi lõpuleviimisest. Audit hõlmas eraldiseisva kliendirakenduse analüüsi, mis on kirjutatud Qt teeki kasutades ja mis on saadaval Linuxi, macOS-i, Windowsi, Androidi ja iOS-i jaoks. Mozilla VPN-i toiteallikaks on enam kui 400 Rootsi VPN-i pakkuja Mullvad serverit, mis asuvad enam kui 30 riigis. Ühendus VPN-teenusega luuakse WireGuardi protokolli abil.
Auditi viis läbi Cure53, kes omal ajal auditeeris projekte NTPsec, SecureDrop, Cryptocat, F-Droid ja Dovecot. Audit hõlmas lähtekoodide kontrollimist ja hõlmas teste võimalike haavatavuste tuvastamiseks (krüptograafiaga seotud probleeme ei võetud arvesse). Auditi käigus tuvastati 16 ohutusprobleemi, millest 8 olid soovituslikud, 5 puhul määrati madal ohutase, kahele keskmine ja ühele kõrge ohutase.
Siiski liigitati haavatavaks vaid üks keskmise raskusastmega probleem, kuna see oli ainus, mida sai ära kasutada. See probleem põhjustas VPN-i kasutusteabe lekke kinnisportaali tuvastuskoodis väljaspool VPN-tunnelit saadetud krüptimata otseste HTTP-päringute tõttu, mis paljastasid kasutaja esmase IP-aadressi, kui ründaja saab transiidiliiklust juhtida. Probleem lahendatakse, keelates seadetes kinnisportaali tuvastamise režiimi.
Teine keskmise raskusastmega probleem on seotud pordi numbri mittenumbriliste väärtuste korraliku puhastamise puudumisega, mis võimaldab OAuthi autentimisparameetrite lekkimist, asendades pordi numbri stringiga nagu "[meiliga kaitstud]", mis põhjustab sildi installimise[meiliga kaitstud]/?code=..." alt=""> pääseb juurde saidile example.com, mitte 127.0.0.1.
Kolmas probleem, mis on märgistatud ohtlikuks, võimaldab igal kohalikul rakendusel ilma autentimiseta pääseda VPN-kliendile juurde kohaliku hostiga seotud WebSocketi kaudu. Näitena on näidatud, kuidas aktiivse VPN-kliendiga saab iga sait korraldada ekraanipildi loomist ja saatmist, genereerides sündmuse screen_capture. Probleemi ei klassifitseerita haavatavaks, kuna WebSocketit kasutati ainult sisemistes testversioonides ja seda suhtluskanalit plaaniti tulevikus kasutada ainult brauseri lisandmooduliga suhtlemise korraldamiseks.
Allikas: opennet.ru