Mozilla Mozilla VPN қызметіне қосылу үшін клиенттік бағдарламалық құралдың тәуелсіз аудитінің аяқталғанын хабарлады. Аудит Qt кітапханасы арқылы жазылған және Linux, macOS, Windows, Android және iOS үшін қол жетімді жеке клиенттік қосымшаның талдауын қамтыды. Mozilla VPN 400-дан астам елде орналасқан швед VPN провайдері Mullvad компаниясының 30-ден астам серверімен жұмыс істейді. VPN қызметіне қосылу WireGuard протоколы арқылы жүзеге асырылады.
Аудитті Cure53 жүргізді, ол бір уақытта NTPsec, SecureDrop, Cryptocat, F-Droid және Dovecot жобаларын тексерді. Аудит бастапқы кодтарды тексеруді қамтыды және ықтимал осалдықтарды анықтауға арналған сынақтарды қамтиды (криптографияға қатысты мәселелер қарастырылмаған). Тексеру барысында қауіпсіздіктің 16 мәселесі анықталды, оның 8-і ұсыныс, 5-еуіне қауіптілік деңгейі төмен, екеуіне орташа, біреуіне жоғары қауіптілік деңгейі берілді.
Дегенмен, ауырлық деңгейі орташа бір мәселе ғана осалдық ретінде жіктелді, себебі ол тек қана пайдалануға болатын еді. Бұл мәселе VPN туннелінің сыртында жіберілген шифрланбаған тікелей HTTP сұрауларына байланысты жабық порталды анықтау кодында VPN пайдалану ақпаратының ағып кетуіне әкелді, егер шабуылдаушы транзиттік трафикті басқара алатын болса, пайдаланушының негізгі IP мекенжайын көрсетеді. Мәселе параметрлерде жабық порталды анықтау режимін өшіру арқылы шешіледі.
Орташа ауырлықтағы екінші мәселе порт нөмірін « сияқты жолға ауыстыру арқылы OAuth аутентификация параметрлерінің ағып кетуіне мүмкіндік беретін порт нөміріндегі сандық емес мәндердің дұрыс тазаланбауымен байланысты.[электрондық пошта қорғалған]", бұл тегтің орнатылуына әкеледі[электрондық пошта қорғалған]/?code=..." alt=""> 127.0.0.1 орнына example.com сайтына кіру.
Қауіпті деп белгіленген үшінші мәселе кез келген жергілікті қолданбаға аутентификациясыз VPN клиентіне жергілікті хостқа байланыстырылған WebSocket арқылы кіруге мүмкіндік береді. Мысал ретінде, белсенді VPN клиентімен кез келген сайт screen_capture оқиғасын жасау арқылы скриншот жасауды және жіберуді қалай ұйымдастыра алатыны көрсетілген. Мәселе осалдық ретінде жіктелмейді, өйткені WebSocket тек ішкі сынақ құрастыруларында қолданылған және бұл байланыс арнасын пайдалану болашақта браузер қондырмасымен өзара әрекеттесуді ұйымдастыру үшін ғана жоспарланған.
Ақпарат көзі: opennet.ru