A Mozilla bejelentette, hogy befejeződött a Mozilla VPN szolgáltatáshoz való csatlakozáshoz szükséges kliensszoftver független auditálása. Az audit magában foglalta a Qt könyvtár használatával írt, Linux, macOS, Windows, Android és iOS rendszerekre elérhető önálló kliens alkalmazás elemzését. A Mozilla VPN-t a svéd Mullvad VPN-szolgáltató több mint 400 szervere működteti, amelyek több mint 30 országban találhatók. A VPN szolgáltatáshoz való csatlakozás a WireGuard protokoll használatával történik.
Az auditot a Cure53 végezte, amely egy időben az NTPsec, SecureDrop, Cryptocat, F-Droid és Dovecot projekteket auditálta. Az ellenőrzés kiterjedt a forráskódok ellenőrzésére, és a lehetséges sebezhetőségek azonosítására irányuló teszteket is magában foglalt (a titkosítással kapcsolatos kérdéseket nem vették figyelembe). Az ellenőrzés során 16 biztonsági problémát azonosítottak, ebből 8 ajánlás, 5 alacsony, kettő közepes, egy pedig magas veszélyességi fokozatot kapott.
Mindazonáltal csak egy közepes súlyosságú probléma minősült sebezhetőségnek, mivel ez volt az egyetlen, ami kihasználható volt. Ez a probléma a VPN-használati információk kiszivárgását eredményezte a rögzített portál észlelési kódjában a VPN-alagúton kívül küldött, titkosítatlan közvetlen HTTP-kérések miatt, amelyek felfedték a felhasználó elsődleges IP-címét, ha a támadó irányítani tudja az átviteli forgalmat. A problémát úgy oldja meg, hogy letiltja a captive portal észlelési módot a beállításokban.
A második közepes súlyosságú probléma a nem numerikus értékek megfelelő tisztításának hiányával függ össze a portszámban, ami lehetővé teszi az OAuth hitelesítési paraméterek kiszivárgását, ha a portszámot egy karakterláncra cserélik, mint "[e-mail védett]", ami az <img src="http://127.0.0.1 címke telepítéséhez vezet:[e-mail védett]/?code=..." alt=""> az example.com elérése a 127.0.0.1 helyett.
A harmadik, veszélyesként megjelölt probléma lehetővé teszi, hogy minden hitelesítés nélküli helyi alkalmazás hozzáférjen egy VPN-klienshez a localhosthoz kötött WebSocket-en keresztül. Példaként bemutatjuk, hogy egy aktív VPN-kliens esetén bármely webhely hogyan szervezheti meg egy képernyőkép létrehozását és elküldését a screen_capture esemény generálásával. A probléma nem minősül sebezhetőségnek, mivel a WebSocketet csak belső tesztverziókban használták, és ennek a kommunikációs csatornának a használatát a jövőben csak a böngészőbővítményekkel való interakció megszervezésére tervezték.
Forrás: opennet.ru