Mozilla-ն հայտարարել է հաճախորդների ծրագրային ապահովման անկախ աուդիտի ավարտի մասին՝ Mozilla VPN ծառայությանը միանալու համար: Աուդիտը ներառում էր առանձին հաճախորդի հավելվածի վերլուծություն, որը գրվել է Qt գրադարանի միջոցով և հասանելի է Linux-ի, macOS-ի, Windows-ի, Android-ի և iOS-ի համար: Mozilla VPN-ն սնուցվում է շվեդական VPN մատակարար Mullvad-ի ավելի քան 400 սերվերներով, որոնք տեղակայված են ավելի քան 30 երկրներում: VPN ծառայության հետ կապը կատարվում է WireGuard արձանագրության միջոցով:
Աուդիտն իրականացրել է Cure53-ը, որը ժամանակին աուդիտ է իրականացրել NTPsec, SecureDrop, Cryptocat, F-Droid և Dovecot նախագծերում: Աուդիտը ընդգրկեց սկզբնական կոդերի ստուգումը և ներառեց թեստեր՝ հնարավոր խոցելիությունները բացահայտելու համար (գաղտնագրության հետ կապված խնդիրները չեն դիտարկվել): Աուդիտի ընթացքում բացահայտվել է անվտանգության 16 խնդիր, որոնցից 8-ը եղել են առաջարկություններ, 5-ին վերագրվել է ցածր վտանգի, երկուսին` միջին, իսկ մեկին` բարձր:
Այնուամենայնիվ, միջին ծանրության միայն մեկ խնդիր է դասակարգվել որպես խոցելիություն, քանի որ դա միակն էր, որը շահագործելի էր: Այս խնդիրը հանգեցրել է VPN-ի օգտագործման տեղեկատվության արտահոսքի գերի պորտալի հայտնաբերման կոդում՝ VPN թունելի դուրս ուղարկված չգաղտնագրված ուղղակի HTTP հարցումների պատճառով՝ բացահայտելով օգտատիրոջ առաջնային IP հասցեն, եթե հարձակվողը կարողանար վերահսկել տարանցիկ տրաֆիկը: Խնդիրը լուծվում է՝ անջատելով գերմանական պորտալի հայտնաբերման ռեժիմը կարգավորումներում:
Միջին խստության երկրորդ խնդիրը կապված է պորտի համարի ոչ թվային արժեքների պատշաճ մաքրման բացակայության հետ, ինչը թույլ է տալիս OAuth վավերացման պարամետրերի արտահոսք՝ փոխարինելով պորտի համարը նման տողով:[էլեկտրոնային փոստով պաշտպանված]", ինչը կհանգեցնի պիտակի տեղադրմանը[էլեկտրոնային փոստով պաշտպանված]/?code=..." alt=""> մուտք գործել example.com 127.0.0.1-ի փոխարեն:
Երրորդ խնդիրը, որը դրոշակվել է որպես վտանգավոր, թույլ է տալիս ցանկացած տեղական հավելվածի՝ առանց նույնականացման, մուտք գործել VPN հաճախորդ՝ WebSocket-ի միջոցով, որը կապված է localhost-ին: Որպես օրինակ՝ ցույց է տրվում, թե ինչպես ակտիվ VPN հաճախորդի դեպքում ցանկացած կայք կարող է կազմակերպել սքրինշոթի ստեղծումն ու ուղարկումը` ստեղծելով screen_capture իրադարձությունը: Խնդիրը չի դասակարգվում որպես խոցելիություն, քանի որ WebSocket-ն օգտագործվում էր միայն ներքին թեստային կառուցումների մեջ, և այս հաղորդակցման ալիքի օգտագործումը պլանավորվում էր միայն ապագայում՝ զննարկիչի հավելման հետ փոխգործակցություն կազմակերպելու համար:
Source: opennet.ru