Mozilla-k Mozilla VPN zerbitzura konektatzeko bezero-softwarearen auditoretza independente bat amaitu duela iragarri du. Ikuskaritzak Qt liburutegia erabiliz idatzitako eta Linux, macOS, Windows, Android eta iOS-etarako eskuragarri dagoen bezero-aplikazio autonomo baten analisia barne hartu zuen. Mozilla VPN Mullvad Suediako VPN hornitzailearen 400 zerbitzari baino gehiagok elikatzen dute, 30 herrialde baino gehiagotan kokatuta. VPN zerbitzurako konexioa WireGuard protokoloa erabiliz egiten da.
Auditoria Cure53-k egin zuen, garai batean NTPsec, SecureDrop, Cryptocat, F-Droid eta Dovecot proiektuak ikuskatu zituen. Ikuskaritzak iturburu-kodeen egiaztapena izan zuen eta ahultasun posibleak identifikatzeko probak barne hartu zituen (kriptografiarekin lotutako arazoak ez ziren kontuan hartu). Ikuskaritzan, 16 segurtasun-arazo identifikatu dira, horietatik 8 gomendioak, 5 arrisku maila baxua esleitu zaie, bi maila ertaina eta bati arrisku maila altua.
Hala ere, larritasun-maila ertaineko arazo bakarra ahultasun gisa sailkatu zen, ustiagarria zen bakarra baitzen. Arazo honek atari gatibuaren detektatzeko kodean VPN erabileraren informazioaren ihesa eragin zuen VPN tuneletik kanpo bidalitako HTTP zuzeneko enkriptatutako eskaerak direla eta, erasotzaileak garraio-trafikoa kontrolatu zezakeen erabiltzailearen IP helbide nagusia agerian utziz. Arazoa konpontzen da ezarpenetan atari gatibuaren detektatzeko modua desgaituz.
Larritasun ertaineko bigarren arazoa portuaren zenbakian zenbakizkoak ez diren balioen garbiketa egokirik ezarekin lotuta dago, eta horrek OAuth autentifikazio-parametroen ihesa ahalbidetzen du ataka-zenbakia bezalako kate batekin ordezkatuz.[posta elektroniko bidez babestua]", eta horrek etiketa instalatzea ekarriko du[posta elektroniko bidez babestua]/?code=..." alt=""> example.com-era atzitzen 127.0.0.1 beharrean.
Arriskutsu gisa markatutako hirugarren gaiak, autentifikaziorik gabeko tokiko edozein aplikaziori aukera ematen dio VPN bezero batera sartzeko localhost-ari loturiko WebSocket baten bidez. Adibide gisa, erakusten da nola, VPN bezero aktibo batekin, edozein gune antola lezakeen pantaila-argazki bat sortzea eta bidaltzea screen_capture gertaera sortuz. Arazoa ez dago ahultasun gisa sailkatzen, WebSocket barneko proba-eraiketetan soilik erabili baitzen eta komunikazio-kanal hau erabiltzea etorkizunean soilik aurreikusi zen nabigatzaileko gehigarri batekin interakzioa antolatzeko.
Iturria: opennet.ru