Mozilla VPN ಸೇವೆಗೆ ಸಂಪರ್ಕಿಸಲು ಕ್ಲೈಂಟ್ ಸಾಫ್ಟ್ವೇರ್ನ ಸ್ವತಂತ್ರ ಆಡಿಟ್ ಅನ್ನು ಪೂರ್ಣಗೊಳಿಸುವುದಾಗಿ ಮೊಜಿಲ್ಲಾ ಘೋಷಿಸಿದೆ. ಲೆಕ್ಕಪರಿಶೋಧನೆಯು Qt ಲೈಬ್ರರಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಬರೆಯಲಾದ ಅದ್ವಿತೀಯ ಕ್ಲೈಂಟ್ ಅಪ್ಲಿಕೇಶನ್ನ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಒಳಗೊಂಡಿದೆ ಮತ್ತು Linux, macOS, Windows, Android ಮತ್ತು iOS ಗೆ ಲಭ್ಯವಿದೆ. Mozilla VPN 400 ಕ್ಕೂ ಹೆಚ್ಚು ದೇಶಗಳಲ್ಲಿ ನೆಲೆಗೊಂಡಿರುವ ಸ್ವೀಡಿಷ್ VPN ಪೂರೈಕೆದಾರ ಮುಲ್ವಾಡ್ನ 30 ಕ್ಕೂ ಹೆಚ್ಚು ಸರ್ವರ್ಗಳಿಂದ ಚಾಲಿತವಾಗಿದೆ. VPN ಸೇವೆಗೆ ಸಂಪರ್ಕವನ್ನು WireGuard ಪ್ರೋಟೋಕಾಲ್ ಬಳಸಿ ಮಾಡಲಾಗಿದೆ.
ಒಂದು ಸಮಯದಲ್ಲಿ NTPsec, SecureDrop, Cryptocat, F-Droid ಮತ್ತು Dovecot ಯೋಜನೆಗಳನ್ನು ಆಡಿಟ್ ಮಾಡಿದ Cure53 ಮೂಲಕ ಆಡಿಟ್ ನಡೆಸಲಾಯಿತು. ಆಡಿಟ್ ಮೂಲ ಕೋಡ್ಗಳ ಪರಿಶೀಲನೆಯನ್ನು ಒಳಗೊಂಡಿದೆ ಮತ್ತು ಸಂಭವನೀಯ ದೋಷಗಳನ್ನು ಗುರುತಿಸಲು ಪರೀಕ್ಷೆಗಳನ್ನು ಒಳಗೊಂಡಿದೆ (ಕ್ರಿಪ್ಟೋಗ್ರಫಿಗೆ ಸಂಬಂಧಿಸಿದ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಗಣಿಸಲಾಗಿಲ್ಲ). ಲೆಕ್ಕಪರಿಶೋಧನೆಯ ಸಮಯದಲ್ಲಿ, 16 ಸುರಕ್ಷತಾ ಸಮಸ್ಯೆಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ, ಅವುಗಳಲ್ಲಿ 8 ಶಿಫಾರಸುಗಳು, 5 ಕಡಿಮೆ ಮಟ್ಟದ ಅಪಾಯವನ್ನು ನಿಗದಿಪಡಿಸಲಾಗಿದೆ, ಎರಡು ಮಧ್ಯಮ ಹಂತವನ್ನು ನಿಗದಿಪಡಿಸಲಾಗಿದೆ ಮತ್ತು ಒಂದು ಉನ್ನತ ಮಟ್ಟದ ಅಪಾಯವನ್ನು ನಿಗದಿಪಡಿಸಲಾಗಿದೆ.
ಆದಾಗ್ಯೂ, ಮಧ್ಯಮ ತೀವ್ರತೆಯ ಮಟ್ಟವನ್ನು ಹೊಂದಿರುವ ಒಂದು ಸಮಸ್ಯೆಯನ್ನು ಮಾತ್ರ ದುರ್ಬಲತೆ ಎಂದು ವರ್ಗೀಕರಿಸಲಾಗಿದೆ, ಏಕೆಂದರೆ ಇದು ಒಂದೇ ಒಂದು ಶೋಷಣೆಯಾಗಿದೆ. ಈ ಸಮಸ್ಯೆಯು VPN ಸುರಂಗದ ಹೊರಗೆ ಕಳುಹಿಸಲಾದ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡದ ನೇರ HTTP ವಿನಂತಿಗಳಿಂದ ಕ್ಯಾಪ್ಟಿವ್ ಪೋರ್ಟಲ್ ಪತ್ತೆ ಕೋಡ್ನಲ್ಲಿ VPN ಬಳಕೆಯ ಮಾಹಿತಿಯ ಸೋರಿಕೆಗೆ ಕಾರಣವಾಯಿತು, ಆಕ್ರಮಣಕಾರರು ಸಾಗಣೆ ಟ್ರಾಫಿಕ್ ಅನ್ನು ನಿಯಂತ್ರಿಸಬಹುದಾದರೆ ಬಳಕೆದಾರರ ಪ್ರಾಥಮಿಕ IP ವಿಳಾಸವನ್ನು ಬಹಿರಂಗಪಡಿಸುತ್ತದೆ. ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ ಕ್ಯಾಪ್ಟಿವ್ ಪೋರ್ಟಲ್ ಪತ್ತೆ ಮೋಡ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವ ಮೂಲಕ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲಾಗುತ್ತದೆ.
ಮಧ್ಯಮ ತೀವ್ರತೆಯ ಎರಡನೇ ಸಮಸ್ಯೆಯು ಪೋರ್ಟ್ ಸಂಖ್ಯೆಯಲ್ಲಿನ ಸಂಖ್ಯಾತ್ಮಕವಲ್ಲದ ಮೌಲ್ಯಗಳ ಸರಿಯಾದ ಶುಚಿಗೊಳಿಸುವಿಕೆಯ ಕೊರತೆಯೊಂದಿಗೆ ಸಂಬಂಧಿಸಿದೆ, ಇದು ಪೋರ್ಟ್ ಸಂಖ್ಯೆಯನ್ನು ಸ್ಟ್ರಿಂಗ್ನೊಂದಿಗೆ ಬದಲಾಯಿಸುವ ಮೂಲಕ OAuth ದೃಢೀಕರಣ ನಿಯತಾಂಕಗಳ ಸೋರಿಕೆಯನ್ನು ಅನುಮತಿಸುತ್ತದೆ "[ಇಮೇಲ್ ರಕ್ಷಿಸಲಾಗಿದೆ]", ಇದು ಟ್ಯಾಗ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲು ಕಾರಣವಾಗುತ್ತದೆ[ಇಮೇಲ್ ರಕ್ಷಿಸಲಾಗಿದೆ]/?code=..." alt=""> 127.0.0.1 ಬದಲಿಗೆ example.com ಅನ್ನು ಪ್ರವೇಶಿಸುತ್ತಿದೆ.
ಮೂರನೇ ಸಂಚಿಕೆ, ಅಪಾಯಕಾರಿ ಎಂದು ಫ್ಲ್ಯಾಗ್ ಮಾಡಲಾಗಿದೆ, ಸ್ಥಳೀಯ ಹೋಸ್ಟ್ಗೆ ಬದ್ಧವಾಗಿರುವ ವೆಬ್ಸಾಕೆಟ್ ಮೂಲಕ VPN ಕ್ಲೈಂಟ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು ದೃಢೀಕರಣವಿಲ್ಲದೆ ಯಾವುದೇ ಸ್ಥಳೀಯ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಉದಾಹರಣೆಯಾಗಿ, ಸಕ್ರಿಯ VPN ಕ್ಲೈಂಟ್ನೊಂದಿಗೆ, ಸ್ಕ್ರೀನ್_ಕ್ಯಾಪ್ಚರ್ ಈವೆಂಟ್ ಅನ್ನು ರಚಿಸುವ ಮೂಲಕ ಯಾವುದೇ ಸೈಟ್ ಸ್ಕ್ರೀನ್ಶಾಟ್ನ ರಚನೆ ಮತ್ತು ಕಳುಹಿಸುವಿಕೆಯನ್ನು ಹೇಗೆ ಸಂಘಟಿಸಬಹುದು ಎಂಬುದನ್ನು ತೋರಿಸಲಾಗಿದೆ. ಸಮಸ್ಯೆಯನ್ನು ದುರ್ಬಲತೆ ಎಂದು ವರ್ಗೀಕರಿಸಲಾಗಿಲ್ಲ, ಏಕೆಂದರೆ ವೆಬ್ಸಾಕೆಟ್ ಅನ್ನು ಆಂತರಿಕ ಪರೀಕ್ಷಾ ನಿರ್ಮಾಣಗಳಲ್ಲಿ ಮಾತ್ರ ಬಳಸಲಾಗುತ್ತಿತ್ತು ಮತ್ತು ಈ ಸಂವಹನ ಚಾನಲ್ನ ಬಳಕೆಯನ್ನು ಬ್ರೌಸರ್ ಆಡ್-ಆನ್ನೊಂದಿಗೆ ಸಂವಾದವನ್ನು ಸಂಘಟಿಸಲು ಭವಿಷ್ಯದಲ್ಲಿ ಮಾತ್ರ ಯೋಜಿಸಲಾಗಿದೆ.
ಮೂಲ: opennet.ru