Mozilla hat it foltôgjen oankundige fan in ûnôfhinklike kontrôle fan kliïntsoftware foar ferbining mei de Mozilla VPN-tsjinst. De kontrôle omfette in analyze fan in standalone kliïntapplikaasje skreaun mei de Qt-bibleteek en beskikber foar Linux, macOS, Windows, Android en iOS. Mozilla VPN wurdt oandreaun troch mear dan 400 servers fan de Sweedske VPN-provider Mullvad, lizzend yn mear as 30 lannen. Ferbining mei de VPN-tsjinst wurdt makke mei it WireGuard-protokol.
De kontrôle waard útfierd troch Cure53, dy't op ien kear de NTPsec, SecureDrop, Cryptocat, F-Droid en Dovecot-projekten kontrolearre. De kontrôle befette de ferifikaasje fan boarnekoades en befette tests om mooglike kwetsberens te identifisearjen (problemen yn ferbân mei kryptografy waarden net beskôge). Tidens de kontrôle waarden 16 feiligensproblemen identifisearre, wêrfan 8 oanbefellings wiene, 5 waarden in leech nivo fan gefaar tawiisd, twa waarden in middelnivo tawiisd, en ien waard in heech nivo fan gefaar tawiisd.
Mar ien probleem mei in medium hurdensnivo waard lykwols klassifisearre as in kwetsberens, om't it it ienige wie dat eksploitber wie. Dit probleem resultearre yn lekkage fan VPN-gebrûksynformaasje yn 'e deteksjekoade foar captive portal fanwegen net-fersifere direkte HTTP-oanfragen stjoerd bûten de VPN-tunnel, wêrtroch it primêre IP-adres fan 'e brûker iepenbiere as de oanfaller it transitferkear koe kontrolearje. It probleem wurdt oplost troch it útskeakeljen fan de captive portal-deteksjemodus yn 'e ynstellings.
It twadde probleem fan medium earnst is assosjearre mei it gebrek oan goede skjinmeitsjen fan net-numerike wearden yn it poartenûmer, wat lekkage fan OAuth-autentikaasjeparameters mooglik makket troch it poartenûmer te ferfangen troch in tekenrige lykas "[e-post beskerme]", wêrtroch't de tag wurdt ynstalleare[e-post beskerme]/?code=..." alt=""> tagong ta example.com ynstee fan 127.0.0.1.
It tredde probleem, markearre as gefaarlik, lit elke lokale applikaasje sûnder autentikaasje tagong krije ta in VPN-kliïnt fia in WebSocket bûn oan localhost. As foarbyld wurdt it toand hoe't, mei in aktive VPN-kliïnt, elke side it oanmeitsjen en ferstjoeren fan in skermôfbylding kin organisearje troch it generearjen fan it screen_capture-evenemint. It probleem is net klassifisearre as in kwetsberens, om't WebSocket allinich brûkt waard yn ynterne testbuildingen en it gebrûk fan dit kommunikaasjekanaal waard allinich yn 'e takomst pland om ynteraksje te organisearjen mei in browser-add-on.
Boarne: opennet.ru