Nel servizio Librem One, finalizzato all'utilizzo su smartphone , subito dopo emerse con una sicurezza che scredita il progetto, che viene pubblicizzato come una piattaforma di privacy sicura. La vulnerabilità è stata trovata nel servizio Librem Chat e permetteva di entrare nella chat come qualsiasi utente, senza conoscere i parametri di autenticazione.
Nel codice backend utilizzato era consentita l'autorizzazione tramite LDAP (matrix-appservice-ldap3) per la rete Matrix , che si è rivelato trasferito al codice del servizio funzionante Librem One. Invece della riga "risultato, _ = yield self._ldap_simple_bind", è stato specificato "risultato = yield self._ldap_simple_bind", che consentiva a qualsiasi utente senza autorizzazione di accedere alla chat con qualsiasi identificatore. Gli sviluppatori del progetto Matrix hanno commesso un errore che il problema si presentava solo nel ramo master “matrix-appservice-ldap3” e non nelle versioni, ma c'era una riga problematica nel repository dal 2016 (forse le condizioni per operare il problema si sono create solo dopo altri recenti cambiamenti).
Il set di servizi Librem One appena lanciato implica un abbonamento a pagamento (7.99 dollari al mese o 71.91 dollari all'anno), ma i client mobili e i processori server si basano su progetti aperti esistenti che erano per la distribuzione con il marchio Librem. Ad esempio, Librem Chat è un client Matrix rinominato Librem Social è basato su , Librem Mail rinominato da , Librem Tunnel è preso in prestito da . I componenti del server sono basati su
Postfix e Dovecot per Librem Mail, per Librem Chat e per il Libro Sociale. Il motivo per cui vengono fornite applicazioni sotto altri nomi è il desiderio di riunire vari servizi decentralizzati basati su standard aperti (Matrix, ActivityPub, IMAP) sotto un unico marchio riconoscibile.
Fonte: opennet.ru