Mozilla ha annunciato il completamento di un audit indipendente del software client per la connessione al servizio VPN Mozilla. L'audit includeva un'analisi di un'applicazione client autonoma scritta utilizzando la libreria Qt e disponibile per Linux, macOS, Windows, Android e iOS. Mozilla VPN è alimentata da oltre 400 server del provider VPN svedese Mullvad, situati in più di 30 paesi. La connessione al servizio VPN viene effettuata utilizzando il protocollo WireGuard.
L'audit è stato effettuato da Cure53, che un tempo controllava i progetti NTPsec, SecureDrop, Cryptocat, F-Droid e Dovecot. L'audit ha riguardato la verifica dei codici sorgente e ha incluso test per identificare possibili vulnerabilità (non sono state prese in considerazione le questioni relative alla crittografia). Durante l'audit sono stati identificati 16 problemi di sicurezza, di cui 8 erano raccomandazioni, a 5 è stato assegnato un livello di pericolo basso, a due è stato assegnato un livello di pericolo medio e ad uno è stato assegnato un livello di pericolo elevato.
Tuttavia, solo un problema con un livello di gravità medio è stato classificato come vulnerabilità, poiché era l’unico sfruttabile. Questo problema ha comportato la perdita di informazioni sull'utilizzo della VPN nel codice di rilevamento del captive Portal a causa di richieste HTTP dirette non crittografate inviate all'esterno del tunnel VPN, rivelando l'indirizzo IP primario dell'utente se l'aggressore poteva controllare il traffico in transito. Il problema si risolve disabilitando la modalità di rilevamento del captive Portal nelle impostazioni.
Il secondo problema di media gravità è associato alla mancanza di un'adeguata pulizia dei valori non numerici nel numero di porta, che consente la perdita dei parametri di autenticazione OAuth sostituendo il numero di porta con una stringa come "[email protected]", che causerà l'installazione del tag[email protected]/?code=..." alt=""> accedendo a example.com invece di 127.0.0.1.
Il terzo problema, contrassegnato come pericoloso, consente a qualsiasi applicazione locale senza autenticazione di accedere a un client VPN tramite un WebSocket associato a localhost. A titolo di esempio viene mostrato come, con un client VPN attivo, qualsiasi sito potrebbe organizzare la creazione e l'invio di uno screenshot generando l'evento screen_capture. Il problema non è classificato come una vulnerabilità, poiché WebSocket è stato utilizzato solo in build di test interni e l'utilizzo di questo canale di comunicazione è stato previsto in futuro solo per organizzare l'interazione con un componente aggiuntivo del browser.
Fonte: opennet.ru