Mozilla on ilmoittanut saaneensa päätökseen Mozilla VPN -palveluun yhdistämisen asiakasohjelmiston riippumattoman auditoinnin. Auditointi sisälsi analyysin erillisestä asiakassovelluksesta, joka on kirjoitettu Qt-kirjastolla ja joka on saatavana Linuxille, macOS:lle, Windowsille, Androidille ja iOS:lle. Mozilla VPN:n virtalähteenä on ruotsalaisen VPN-palveluntarjoajan Mullvadin yli 400 palvelinta, jotka sijaitsevat yli 30 maassa. Yhteys VPN-palveluun muodostetaan WireGuard-protokollalla.
Auditoinnin suoritti Cure53, joka auditoi aikoinaan NTPsec-, SecureDrop-, Cryptocat-, F-Droid- ja Dovecot-projekteja. Auditointi kattoi lähdekoodien todentamisen ja sisälsi testejä mahdollisten haavoittuvuuksien tunnistamiseksi (salaukseen liittyviä asioita ei otettu huomioon). Auditoinnissa tunnistettiin 16 turvallisuusasiaa, joista 8 oli suosituksia, 5 luokiteltiin matalaksi, kahdeksi keskitasoiseksi ja yhdelle korkeaksi.
Kuitenkin vain yksi keskivakava ongelma luokiteltiin haavoittuvuudeksi, koska se oli ainoa hyödynnettävissä oleva ongelma. Tämä ongelma johti VPN-käyttötietojen vuotamiseen captive-portaalin tunnistuskoodissa VPN-tunnelin ulkopuolelle lähetetyistä salaamattomista suorista HTTP-pyynnöistä, jotka paljastivat käyttäjän ensisijaisen IP-osoitteen, jos hyökkääjä pystyi hallitsemaan siirtoliikennettä. Ongelma ratkaistaan poistamalla captive portal -tunnistustila käytöstä asetuksista.
Toinen keskivakava ongelma liittyy ei-numeeristen arvojen asianmukaisen puhdistamisen puutteeseen portin numerossa, mikä mahdollistaa OAuth-todennusparametrien vuotamisen korvaamalla portin numeron merkkijonolla, kuten "[sähköposti suojattu]", mikä aiheuttaa tunnisteen asentamisen[sähköposti suojattu]/?code=..." alt=""> päästään example.comiin osoitteen 127.0.0.1 sijaan.
Kolmas ongelma, joka on merkitty vaaralliseksi, sallii minkä tahansa paikallisen sovelluksen ilman todennusta käyttää VPN-asiakasta paikallispalvelimeen sidotun WebSocketin kautta. Esimerkkinä näytetään, kuinka aktiivisella VPN-asiakkaalla mikä tahansa sivusto voisi järjestää kuvakaappauksen luomisen ja lähettämisen luomalla screen_capture-tapahtuman. Ongelmaa ei ole luokiteltu haavoittuvuudeksi, koska WebSocketia käytettiin vain sisäisissä testiversioissa ja tämän viestintäkanavan käyttöä suunniteltiin vasta tulevaisuudessa vuorovaikutuksen järjestämiseen selaimen lisäosan kanssa.
Lähde: opennet.ru