ProHoster > blog > berita internet > Kerentanan kritis dalam layanan Librem One, teridentifikasi pada hari peluncurannya
Kerentanan kritis dalam layanan Librem One, teridentifikasi pada hari peluncurannya
Pada layanan Librem One ditujukan untuk digunakan pada smartphone Pustaka 5, tepat setelah meluncurkan muncul ke permukaan masalah kritis dengan keamanan yang mendiskreditkan proyek tersebut, yang disebut-sebut sebagai platform privasi yang aman. Kerentanan ditemukan di layanan Obrolan Librem dan memungkinkan pengguna mana pun untuk masuk ke obrolan tanpa mengetahui parameter otentikasi.
Dalam kode backend yang digunakan, otorisasi melalui LDAP (matrix-appservice-ldap3) untuk jaringan Matrix diizinkan kesalahan, yang ternyata ditransfer ke kode layanan kerja Librem One. Alih-alih baris βhasil, _ = hasil mandiri._ldap_simple_bindβ, βhasil = hasil mandiri._ldap_simple_bindβ ditentukan, yang memungkinkan pengguna mana pun tanpa izin untuk memasuki obrolan dengan pengenal apa pun. Pengembang proyek Matrix melakukan kesalahan klaimbahwa masalahnya hanya muncul di cabang master βmatrix-appservice-ldap3β, dan bukan di rilis, tetapi ada baris yang bermasalah di repositori menyajikan sejak 2016 (mungkin kondisi pengoperasian masalah muncul hanya setelah beberapa perubahan terkini).
Rangkaian layanan Librem One yang baru diluncurkan menyiratkan langganan berbayar ($7.99 per bulan atau $71.91 per tahun), tetapi klien seluler dan pemroses server didasarkan pada proyek terbuka yang sudah ada sebelumnya. diganti namanya untuk didistribusikan di bawah merek Librem. Misalnya, Librem Chat adalah klien Matrix yang berganti nama kerusuhanLibrem Sosial didasarkan pada tuski, Librem Mail berganti nama dari K-9, Terowongan Librem dipinjam Ics-openvpn. Komponen server didasarkan pada
Postfix dan Dovecot untuk Librem Mail, Matriks untuk Obrolan Librem dan Mastodon untuk Librem Sosial. Alasan untuk menghadirkan aplikasi dengan nama lain adalah keinginan untuk mengumpulkan berbagai layanan terdesentralisasi berdasarkan standar terbuka (Matrix, ActivityPub, IMAP) di bawah satu merek yang dapat dikenali.