موزیلا از تکمیل ممیزی مستقل نرم افزار مشتری برای اتصال به سرویس VPN موزیلا خبر داده است. این ممیزی شامل تجزیه و تحلیل یک برنامه مشتری مستقل است که با استفاده از کتابخانه Qt نوشته شده و برای Linux، macOS، Windows، Android و iOS در دسترس است. Mozilla VPN توسط بیش از 400 سرور ارائه دهنده VPN سوئدی Mullvad، واقع در بیش از 30 کشور، پشتیبانی می شود. اتصال به سرویس VPN با استفاده از پروتکل WireGuard انجام می شود.
ممیزی توسط Cure53 انجام شد که در یک زمان پروژههای NTPsec، SecureDrop، Cryptocat، F-Droid و Dovecot را ممیزی میکرد. ممیزی تأیید کدهای منبع را پوشش داد و شامل آزمایشهایی برای شناسایی آسیبپذیریهای احتمالی شد (مسائل مربوط به رمزنگاری در نظر گرفته نشد). در جریان ممیزی 16 مورد ایمنی شناسایی شد که 8 مورد آن توصیه، 5 مورد با سطح خطر پایین، دو مورد با سطح متوسط و یک مورد با سطح خطر بالا تعیین شد.
با این حال، تنها یک موضوع با سطح شدت متوسط به عنوان آسیبپذیری طبقهبندی شد، زیرا تنها موردی بود که قابل بهرهبرداری بود. این مشکل به نشت اطلاعات استفاده از VPN در کد شناسایی پورتال محصور به دلیل درخواست های HTTP مستقیم رمزگذاری نشده ارسال شده در خارج از تونل VPN منجر شد و اگر مهاجم بتواند ترافیک حمل و نقل را کنترل کند، آدرس IP اولیه کاربر را آشکار می کند. با غیرفعال کردن حالت تشخیص پورتال در تنظیمات، مشکل حل می شود.
دومین مشکل با شدت متوسط مربوط به عدم تمیز کردن مناسب مقادیر غیر عددی در شماره پورت است که با جایگزین کردن شماره پورت با رشته ای مانند "نشت پارامترهای احراز هویت OAuth امکان پذیر است.[ایمیل محافظت شده]"، که باعث نصب تگ می شود[ایمیل محافظت شده]/?code=..." alt=""> دسترسی به example.com به جای 127.0.0.1.
موضوع سوم که به عنوان خطرناک علامت گذاری شده است، به هر برنامه محلی بدون احراز هویت اجازه می دهد تا از طریق یک WebSocket متصل به لوکال هاست، به یک کلاینت VPN دسترسی داشته باشد. به عنوان مثال، نشان داده شده است که چگونه با یک کلاینت فعال VPN، هر سایتی می تواند ایجاد و ارسال یک اسکرین شات را با ایجاد رویداد screen_capture سازماندهی کند. این مشکل به عنوان آسیب پذیری طبقه بندی نمی شود، زیرا WebSocket فقط در ساخت های آزمایشی داخلی استفاده می شد و استفاده از این کانال ارتباطی فقط در آینده برای سازماندهی تعامل با یک افزونه مرورگر برنامه ریزی شده بود.
منبع: opennet.ru