Dans le service Librem One, destiné à une utilisation sur smartphone , juste après fait surface avec une sécurité qui discrédite le projet, présenté comme une plateforme de confidentialité sécurisée. La vulnérabilité a été trouvée dans le service Librem Chat et permettait d'accéder au chat en tant qu'utilisateur, sans connaître les paramètres d'authentification.
Dans le code backend utilisé, l'autorisation via LDAP (matrix-appservice-ldap3) pour le réseau Matrix était autorisée , qui s'est avéré être transféré au code du service de travail Librem One. Au lieu de la ligne « result, _ = rendement self._ldap_simple_bind », « résultat = rendement self._ldap_simple_bind » a été spécifié, ce qui permettait à tout utilisateur sans autorisation d'entrer dans le chat sous n'importe quel identifiant. Les développeurs du projet Matrix ont commis une erreur que le problème n'est apparu que dans la branche principale "matrix-appservice-ldap3", et non dans les versions, mais dans le référentiel il y a une ligne problématique depuis 2016 (peut-être que les conditions de fonctionnement du problème ne sont apparues qu'après quelques autres changements récents).
L'ensemble de services Librem One récemment lancé implique un abonnement payant (7.99 $ par mois ou 71.91 $ par an), mais les clients mobiles et les processeurs de serveur sont basés sur des projets ouverts existants qui ont été pour distribution sous la marque Librem. Par exemple, Librem Chat est un client Matrix renommé Librem Social est basé sur , Librem Mail renommé de , Librem Tunnel est emprunté à . Les composants du serveur sont basés sur
Postfix et Dovecot pour Librem Mail, pour Librem Chat et pour Librem Social. La raison pour laquelle des applications sont proposées sous d'autres noms est le désir de regrouper divers services décentralisés basés sur des normes ouvertes (Matrix, ActivityPub, IMAP) sous une seule marque reconnaissable.
Source: opennet.ru