Mozilla wis ngumumake rampung audit independen saka piranti lunak klien kanggo nyambungake menyang layanan Mozilla VPN. Audit kasebut kalebu analisis aplikasi klien mandiri sing ditulis nggunakake perpustakaan Qt lan kasedhiya kanggo Linux, macOS, Windows, Android lan iOS. Mozilla VPN didhukung dening luwih saka 400 server panyedhiya VPN Swedia Mullvad, dumunung ing luwih saka 30 negara. Sambungan menyang layanan VPN digawe nggunakake protokol WireGuard.
Audit kasebut ditindakake dening Cure53, sing ing sawijining wektu ngawasi proyek NTPsec, SecureDrop, Cryptocat, F-Droid lan Dovecot. Audit kasebut nyakup verifikasi kode sumber lan kalebu tes kanggo ngenali kerentanan sing bisa ditindakake (masalah sing ana gandhengane karo kriptografi ora dianggep). Sajrone audit, 16 masalah safety diidentifikasi, 8 yaiku rekomendasi, 5 diwenehi bebaya sing kurang, loro diwenehi tingkat medium, lan siji diwenehi bebaya tingkat dhuwur.
Nanging, mung siji masalah kanthi tingkat keruwetan medium sing diklasifikasikake minangka kerentanan, amarga mung siji sing bisa dieksploitasi. Masalah iki nyebabake kebocoran informasi panggunaan VPN ing kode deteksi portal tawanan amarga panjaluk HTTP langsung sing ora dienkripsi sing dikirim ing njaba terowongan VPN, nuduhake alamat IP utama pangguna yen penyerang bisa ngontrol lalu lintas transit. Masalah ditanggulangi kanthi mateni mode deteksi portal captive ing setelan.
Masalah kapindho keruwetan medium digandhengake karo kekurangan reresik sing bener saka nilai non-numerik ing nomer port, sing ngidini bocor parameter otentikasi OAuth kanthi ngganti nomer port kanthi senar kaya "[email dilindhungi]", sing bakal mimpin menyang instalasi tag[email dilindhungi]/?code=..." alt=""> ngakses example.com tinimbang 127.0.0.1.
Jeksa Agung bisa ngetokake katelu, ditandhani minangka mbebayani, ngidini aplikasi lokal tanpa otentikasi kanggo ngakses klien VPN liwat WebSocket kaiket localhost. Minangka conto, ditampilake carane, kanthi klien VPN sing aktif, situs apa wae bisa ngatur nggawe lan ngirim gambar kanthi ngasilake acara screen_capture. Masalah kasebut ora diklasifikasikake minangka kerentanan, amarga WebSocket mung digunakake ing uji coba internal lan panggunaan saluran komunikasi iki mung direncanakake ing mangsa ngarep kanggo ngatur interaksi karo browser tambahan.
Source: opennet.ru