No servizo Librem One, destinado ao seu uso nun smartphone , xusto despois aflorou cunha seguridade que desacredita o proxecto, que se promociona como unha plataforma de privacidade segura. A vulnerabilidade atopouse no servizo Librem Chat e permitiu entrar no chat como calquera usuario, sen coñecer os parámetros de autenticación.
No código de backend usado, permitiuse a autorización a través de LDAP (matrix-appservice-ldap3) para a rede Matrix , que resultou ser transferido ao código do servizo de traballo Librem One. En lugar da liña "result, _ = yield self._ldap_simple_bind", especificouse "result = yield self._ldap_simple_bind", que permitía a calquera usuario sen autorización entrar no chat con calquera identificador. Os desenvolvedores do proxecto Matrix cometeron un erro que o problema só apareceu na rama mestra "matrix-appservice-ldap3", e non nas versións, pero había unha liña problemática no repositorio desde 2016 (quizais as condicións para operar o problema xurdiron só despois dalgúns outros cambios recentes).
O conxunto de servizos Librem One recentemente lanzado implica unha subscrición de pago (7.99 dólares ao mes ou 71.91 dólares ao ano), pero os clientes móbiles e os procesadores do servidor baséanse en proxectos abertos existentes que foron para distribución baixo a marca Librem. Por exemplo, Librem Chat é un cliente de Matrix renomeado Baséase en Librem Social , Librem Mail cambiou o nome de , Túnel de Librem está tomado prestado . Os compoñentes do servidor baséanse
Postfix e Dovecot para Librem Mail, para Librem Chat e para Librem Social. O motivo para entregar aplicacións con outros nomes é o desexo de recoller varios servizos descentralizados baseados en estándares abertos (Matrix, ActivityPub, IMAP) baixo unha marca recoñecible.
Fonte: opennet.ru