Mozilla anunciou a finalización dunha auditoría independente do software do cliente para conectarse ao servizo VPN de Mozilla. A auditoría incluíu unha análise dunha aplicación cliente independente escrita mediante a biblioteca Qt e dispoñible para Linux, macOS, Windows, Android e iOS. Mozilla VPN funciona con máis de 400 servidores do provedor sueco de VPN Mullvad, situado en máis de 30 países. A conexión ao servizo VPN realízase mediante o protocolo WireGuard.
A auditoría foi realizada por Cure53, que no seu momento auditou os proxectos NTPsec, SecureDrop, Cryptocat, F-Droid e Dovecot. A auditoría abarcou a verificación dos códigos fonte e incluíu probas para identificar posibles vulnerabilidades (non se consideraron os problemas relacionados coa criptografía). Durante a auditoría identificáronse 16 problemas de seguridade, dos cales 8 foron recomendacións, a 5 asignáronselles un nivel de perigo baixo, a dous de nivel medio e a un de perigo alto.
Non obstante, só se clasificou como vulnerabilidade un problema cun nivel de gravidade medio, xa que era o único que se podía explotar. Este problema provocou a fuga de información de uso da VPN no código de detección do portal cativo debido a solicitudes HTTP directas sen cifrar enviadas fóra do túnel VPN, que revelan o enderezo IP principal do usuario se o atacante podía controlar o tráfico de tránsito. O problema resólvese desactivando o modo de detección do portal cativo na configuración.
O segundo problema de gravidade media está asociado á falta de limpeza adecuada de valores non numéricos no número de porto, o que permite a fuga de parámetros de autenticación OAuth substituíndo o número de porto por unha cadea como "[protexido por correo electrónico]", o que fará que se instale a etiqueta[protexido por correo electrónico]/?code=..." alt=""> accedendo a example.com en lugar de 127.0.0.1.
O terceiro problema, marcado como perigoso, permite que calquera aplicación local sen autenticación acceda a un cliente VPN a través dun WebSocket ligado a localhost. Como exemplo, móstrase como, cun cliente VPN activo, calquera sitio podería organizar a creación e o envío dunha captura de pantalla xerando o evento screen_capture. O problema non está clasificado como unha vulnerabilidade, xa que WebSocket só se utilizou en compilacións de probas internas e o uso desta canle de comunicación só se planificou no futuro para organizar a interacción cun complemento do navegador.
Fonte: opennet.ru