Mozilla は、Mozilla VPN サービスに接続するためのクライアント ソフトウェアの独立監査が完了したと発表しました。 監査には、Qt ライブラリを使用して作成され、Linux、macOS、Windows、Android、iOS で利用可能なスタンドアロン クライアント アプリケーションの分析が含まれています。 Mozilla VPN は、400 か国以上にあるスウェーデンの VPN プロバイダー Mullvad の 30 以上のサーバーを利用しています。 VPN サービスへの接続は、WireGuard プロトコルを使用して行われます。
この監査は Cure53 によって実施され、かつては NTPsec、SecureDrop、Cryptocat、F-Droid、Dovecot プロジェクトを監査していました。 監査にはソース コードの検証が含まれ、潜在的な脆弱性を特定するテストが含まれていました (暗号化に関連する問題は考慮されていません)。 監査中には 16 件の安全上の問題が特定され、そのうち 8 件は推奨事項、5 件には低レベルの危険性が割り当てられ、XNUMX 件には中レベルの危険性が割り当てられ、XNUMX 件には高レベルの危険性が割り当てられました。
ただし、悪用可能な問題は中程度の重大度レベルの XNUMX つだけであったため、脆弱性として分類されました。 この問題により、VPN トンネルの外側に送信された暗号化されていない直接 HTTP リクエストにより、キャプティブ ポータル検出コード内の VPN 使用情報が漏洩し、攻撃者がトランジット トラフィックを制御できた場合にユーザーのプライマリ IP アドレスが明らかになりました。 この問題は、設定でキャプティブ ポータル検出モードを無効にすることで解決します。
重大度が中程度の XNUMX 番目の問題は、ポート番号の非数値が適切にクリーニングされていないことに関連しており、ポート番号を「」のような文字列に置き換えることで OAuth 認証パラメータの漏洩が可能になります。[メール保護]"、これによりタグがインストールされます[メール保護]/?code=..." alt=""> 127.0.0.1 ではなく example.com にアクセスします。
XNUMX つ目の問題は、危険であるとフラグが立てられており、ローカル アプリケーションが認証なしで、localhost にバインドされた WebSocket 経由で VPN クライアントにアクセスできるようになります。 例として、アクティブな VPN クライアントを使用して、どのサイトでも screen_capture イベントを生成してスクリーンショットの作成と送信を組織できる方法を示します。 WebSocket は内部テスト ビルドでのみ使用され、この通信チャネルの使用はブラウザ アドオンとの対話を組織するために将来のみ計画されていたため、この問題は脆弱性として分類されませんでした。
出所: オープンネット.ru