ProHoster > وبلاگ > اخبار اینترنتی > نتایج ممیزی مشتری موزیلا VPN منتشر شد

نتایج ممیزی مشتری موزیلا VPN منتشر شد

موزیلا از تکمیل ممیزی مستقل نرم افزار مشتری برای اتصال به سرویس VPN موزیلا خبر داده است. این ممیزی شامل تجزیه و تحلیل یک برنامه مشتری مستقل است که با استفاده از کتابخانه Qt نوشته شده و برای Linux، macOS، Windows، Android و iOS در دسترس است. Mozilla VPN توسط بیش از 400 سرور ارائه دهنده VPN سوئدی Mullvad، واقع در بیش از 30 کشور، پشتیبانی می شود. اتصال به سرویس VPN با استفاده از پروتکل WireGuard انجام می شود.

ممیزی توسط Cure53 انجام شد که در یک زمان پروژه‌های NTPsec، SecureDrop، Cryptocat، F-Droid و Dovecot را ممیزی می‌کرد. ممیزی تأیید کدهای منبع را پوشش داد و شامل آزمایش‌هایی برای شناسایی آسیب‌پذیری‌های احتمالی شد (مسائل مربوط به رمزنگاری در نظر گرفته نشد). در جریان ممیزی 16 مورد ایمنی شناسایی شد که 8 مورد آن توصیه، 5 مورد با سطح خطر پایین، دو مورد با سطح متوسط ​​و یک مورد با سطح خطر بالا تعیین شد.

با این حال، تنها یک موضوع با سطح شدت متوسط ​​به عنوان آسیب‌پذیری طبقه‌بندی شد، زیرا تنها موردی بود که قابل بهره‌برداری بود. این مشکل به نشت اطلاعات استفاده از VPN در کد شناسایی پورتال محصور به دلیل درخواست های HTTP مستقیم رمزگذاری نشده ارسال شده در خارج از تونل VPN منجر شد و اگر مهاجم بتواند ترافیک حمل و نقل را کنترل کند، آدرس IP اولیه کاربر را آشکار می کند. با غیرفعال کردن حالت تشخیص پورتال در تنظیمات، مشکل حل می شود.

دومین مشکل با شدت متوسط ​​مربوط به عدم تمیز کردن مناسب مقادیر غیر عددی در شماره پورت است که با جایگزین کردن شماره پورت با رشته ای مانند "نشت پارامترهای احراز هویت OAuth امکان پذیر است.[ایمیل محافظت شده]"، که باعث نصب تگ می شود[ایمیل محافظت شده]/?code=..." alt=""> دسترسی به example.com به جای 127.0.0.1.

موضوع سوم که به عنوان خطرناک علامت گذاری شده است، به هر برنامه محلی بدون احراز هویت اجازه می دهد تا از طریق یک WebSocket متصل به لوکال هاست، به یک کلاینت VPN دسترسی داشته باشد. به عنوان مثال، نشان داده شده است که چگونه با یک کلاینت فعال VPN، هر سایتی می تواند ایجاد و ارسال یک اسکرین شات را با ایجاد رویداد screen_capture سازماندهی کند. این مشکل به عنوان آسیب پذیری طبقه بندی نمی شود، زیرا WebSocket فقط در ساخت های آزمایشی داخلی استفاده می شد و استفاده از این کانال ارتباطی فقط در آینده برای سازماندهی تعامل با یک افزونه مرورگر برنامه ریزی شده بود.

منبع: opennet.ru

اضافه کردن نظر