Tá sé fógartha ag Mozilla go bhfuil iniúchadh neamhspleách déanta ar bhogearraí cliant chun nascadh le seirbhís Mozilla VPN. Áiríodh leis an iniúchadh anailís ar fheidhmchlár neamhspleách cliant a scríobhadh ag baint úsáide as an leabharlann Qt agus atá ar fáil le haghaidh Linux, macOS, Windows, Android agus iOS. Tá Mozilla VPN faoi thiomáint ag níos mó ná 400 freastalaí de chuid soláthraí VPN na Sualainne Mullvad, atá lonnaithe i níos mó ná 30 tír. Déantar nasc leis an tseirbhís VPN trí úsáid a bhaint as prótacal WireGuard.
Rinne Cure53 an t-iniúchadh, a rinne iniúchadh ag aon am amháin ar thionscadail NTPsec, SecureDrop, Cryptocat, F-Droid agus Dovecot. Chuimsigh an t-iniúchadh fíorú na gcód foinseach agus chuimsigh sé tástálacha chun leochaileachtaí féideartha a aithint (níor breithníodh ceisteanna a bhaineann le cripteagrafaíocht). Le linn an iniúchta, sainaithníodh 16 saincheist sábháilteachta, ba mholtaí 8 gcinn, sannadh leibhéal íseal contúirte do 5 cinn, sannadh meánleibhéal do dhá cheann, agus sannadh ardleibhéal contúirte do cheann amháin.
Mar sin féin, níor rangaíodh ach saincheist amháin le meánleibhéal déine mar leochaileacht, ós rud é gurbh í an t-aon cheann amháin a bhí insaothraithe. Mar thoradh ar an tsaincheist seo sceitheadh faisnéis úsáide VPN sa chód braite tairseach faoi chuing mar gheall ar iarratais HTTP díreacha gan chriptiú a seoladh lasmuigh den tollán VPN, ag nochtadh príomhsheoladh IP an úsáideora dá bhféadfadh an t-ionsaitheoir an trácht idirthurais a rialú. Réitítear an fhadhb tríd an modh braite tairsí faoi chuing a dhíchumasú sna socruithe.
Baineann an dara fadhb a bhaineann le déineacht mheánach le heaspa glantacháin chuí na luachanna neamhuimhriúla san uimhir phoirt, rud a fhágann gur féidir paraiméadair fíordheimhnithe OAuth a sceitheadh trí uimhir an phoirt a athsholáthar le sreang mar “[ríomhphost faoi chosaint]", rud a fhágann go mbeidh an chlib suiteáilte[ríomhphost faoi chosaint]/?code=..." alt=""> rochtain a fháil ar shampla.com in ionad 127.0.0.1.
Ceadaíonn an tríú saincheist, atá luaite mar chontúirteach, d’aon fheidhmchlár áitiúil gan fíordheimhniú rochtain a fháil ar chliant VPN trí WebSocket atá ceangailte le localhost. Mar shampla, taispeántar conas, le cliant gníomhach VPN, a bhféadfadh aon láithreán cruthú agus seoladh scáileáin a eagrú trí imeacht screen_capture a ghiniúint. Níl an fhadhb rangaithe mar leochaileacht, ós rud é nár úsáideadh WebSocket ach amháin i dtógálacha tástála inmheánacha agus ní raibh sé beartaithe an cainéal cumarsáide seo a úsáid ach amháin sa todhchaí chun idirghníomhú le breiseán brabhsálaí a eagrú.
Foinse: oscailtenet.ru