Mozilla telah mengumumkan penyelesaian audit independen terhadap perangkat lunak klien untuk menghubungkan ke layanan Mozilla VPN. Audit tersebut mencakup analisis aplikasi klien yang berdiri sendiri yang ditulis menggunakan perpustakaan Qt dan tersedia untuk Linux, macOS, Windows, Android, dan iOS. Mozilla VPN didukung oleh lebih dari 400 server penyedia VPN Swedia Mullvad, yang berlokasi di lebih dari 30 negara. Koneksi ke layanan VPN dilakukan menggunakan protokol WireGuard.
Audit dilakukan oleh Cure53, yang pernah mengaudit proyek NTPsec, SecureDrop, Cryptocat, F-Droid dan Dovecot. Audit tersebut mencakup verifikasi kode sumber dan mencakup pengujian untuk mengidentifikasi kemungkinan kerentanan (masalah terkait kriptografi tidak dipertimbangkan). Selama audit, teridentifikasi 16 isu keselamatan, 8 di antaranya merupakan rekomendasi, 5 diberi peringkat bahaya rendah, dua diberi peringkat sedang, dan satu diberi peringkat bahaya tinggi.
Namun, hanya satu permasalahan dengan tingkat keparahan sedang yang diklasifikasikan sebagai kerentanan, karena hanya permasalahan tersebut yang dapat dieksploitasi. Masalah ini mengakibatkan kebocoran informasi penggunaan VPN dalam kode deteksi portal captive karena permintaan HTTP langsung tidak terenkripsi yang dikirim ke luar terowongan VPN, sehingga mengungkapkan alamat IP utama pengguna jika penyerang dapat mengontrol lalu lintas transit. Masalahnya diselesaikan dengan menonaktifkan mode deteksi captive portal di pengaturan.
Masalah kedua dengan tingkat keparahan sedang dikaitkan dengan kurangnya pembersihan nilai non-numerik di nomor port, yang memungkinkan kebocoran parameter otentikasi OAuth dengan mengganti nomor port dengan string seperti β[email dilindungi]", yang akan menyebabkan tag dipasang[email dilindungi]/?code=..." alt=""> mengakses example.com alih-alih 127.0.0.1.
Masalah ketiga, yang ditandai sebagai berbahaya, memungkinkan aplikasi lokal apa pun tanpa autentikasi mengakses klien VPN melalui WebSocket yang terikat ke localhost. Sebagai contoh, ditunjukkan bagaimana, dengan klien VPN yang aktif, situs mana pun dapat mengatur pembuatan dan pengiriman tangkapan layar dengan menghasilkan acara screen_capture. Masalahnya tidak diklasifikasikan sebagai kerentanan, karena WebSocket hanya digunakan dalam pengujian internal dan penggunaan saluran komunikasi ini hanya direncanakan di masa depan untuk mengatur interaksi dengan add-on browser.
Sumber: opennet.ru