Mozilla je najavila završetak neovisne revizije klijentskog softvera za povezivanje na Mozilla VPN uslugu. Revizija je uključivala analizu samostalne klijentske aplikacije napisane pomoću Qt biblioteke i dostupne za Linux, macOS, Windows, Android i iOS. Mozilla VPN pokreće više od 400 poslužitelja švedskog VPN pružatelja usluga Mullvad, koji se nalazi u više od 30 zemalja. Spajanje na VPN uslugu ostvaruje se putem WireGuard protokola.
Reviziju je provela tvrtka Cure53 koja je svojedobno revidirala projekte NTPsec, SecureDrop, Cryptocat, F-Droid i Dovecot. Revizija je obuhvatila provjeru izvornih kodova i uključila testove za identifikaciju mogućih ranjivosti (problemi povezani s kriptografijom nisu razmatrani). Tijekom revizije identificirano je 16 sigurnosnih problema, od kojih je 8 preporuka, 5 s niskim stupnjem opasnosti, dva s srednjim i jedan s visokim stupnjem opasnosti.
Međutim, samo je jedan problem sa srednjom razinom ozbiljnosti klasificiran kao ranjivost, budući da je bio jedini koji se mogao iskoristiti. Ovaj je problem rezultirao curenjem informacija o korištenju VPN-a u kodu za otkrivanje captive portala zbog nekriptiranih izravnih HTTP zahtjeva poslanih izvan VPN tunela, otkrivajući primarnu IP adresu korisnika ako bi napadač mogao kontrolirati tranzitni promet. Problem se rješava isključivanjem moda detekcije captive portala u postavkama.
Drugi problem srednje ozbiljnosti povezan je s nedostatkom pravilnog čišćenja nenumeričkih vrijednosti u broju priključka, što dopušta curenje OAuth parametara provjere autentičnosti zamjenom broja priključka nizom poput "[e-pošta zaštićena]", što će uzrokovati instaliranje oznake[e-pošta zaštićena]/?code=..." alt=""> pristupanje example.com umjesto 127.0.0.1.
Treći problem, označen kao opasan, omogućuje bilo kojoj lokalnoj aplikaciji bez provjere autentičnosti pristup VPN klijentu putem WebSocketa vezanog za localhost. Kao primjer, prikazano je kako, s aktivnim VPN klijentom, bilo koja stranica može organizirati stvaranje i slanje snimke zaslona generiranjem događaja screen_capture. Problem nije klasificiran kao ranjivost, budući da je WebSocket korišten samo u internim testnim verzijama, a korištenje ovog komunikacijskog kanala planirano je samo u budućnosti za organiziranje interakcije s dodatkom preglednika.
Izvor: opennet.ru