Mozilla a annoncé l'achèvement d'un audit indépendant du logiciel client de connexion au service VPN Mozilla. L'audit comprenait une analyse d'une application client autonome écrite à l'aide de la bibliothèque Qt et disponible pour Linux, macOS, Windows, Android et iOS. Mozilla VPN est alimenté par plus de 400 serveurs du fournisseur VPN suédois Mullvad, situés dans plus de 30 pays. La connexion au service VPN s'effectue à l'aide du protocole WireGuard.
L'audit a été réalisé par Cure53, qui a autrefois audité les projets NTPsec, SecureDrop, Cryptocat, F-Droid et Dovecot. L'audit couvrait la vérification des codes sources et comprenait des tests pour identifier d'éventuelles vulnérabilités (les problèmes liés à la cryptographie n'ont pas été pris en compte). Au cours de l'audit, 16 problèmes de sécurité ont été identifiés, dont 8 étaient des recommandations, 5 se sont vu attribuer un niveau de danger faible, deux un niveau de danger moyen et un un niveau de danger élevé.
Cependant, un seul problème de niveau de gravité moyen a été classé comme vulnérabilité, car c'était le seul exploitable. Ce problème a entraîné une fuite d'informations sur l'utilisation du VPN dans le code de détection du portail captif en raison de requêtes HTTP directes non chiffrées envoyées à l'extérieur du tunnel VPN, révélant l'adresse IP principale de l'utilisateur si l'attaquant pouvait contrôler le trafic de transit. Le problème est résolu en désactivant le mode de détection du portail captif dans les paramètres.
Le deuxième problème de gravité moyenne est associé au manque de nettoyage approprié des valeurs non numériques dans le numéro de port, ce qui permet une fuite des paramètres d'authentification OAuth en remplaçant le numéro de port par une chaîne comme «[email protected]", ce qui entraînera l'installation du tag[email protected]/?code=..." alt=""> accédant à example.com au lieu de 127.0.0.1.
Le troisième problème, signalé comme dangereux, permet à toute application locale sans authentification d'accéder à un client VPN via un WebSocket lié à localhost. A titre d'exemple, il est montré comment, avec un client VPN actif, n'importe quel site pourrait organiser la création et l'envoi d'une capture d'écran en générant l'événement screen_capture. Le problème n'est pas classé comme vulnérabilité, puisque WebSocket n'a été utilisé que dans des versions de tests internes et que l'utilisation de ce canal de communication n'était prévue à l'avenir que pour organiser l'interaction avec un module complémentaire de navigateur.
Source: opennet.ru