Mozilla Mozilla VPN кызматына туташуу үчүн кардар программасына көз карандысыз аудит аяктагандыгын жарыялады. Аудит Qt китепканасын колдонуу менен жазылган жана Linux, macOS, Windows, Android жана iOS үчүн жеткиликтүү болгон өз алдынча кардар тиркемесинин анализин камтыды. Mozilla VPN 400дан ашык өлкөдө жайгашкан шведдик VPN провайдери Mullvadдын 30дөн ашык серверлери менен иштейт. VPN кызматына туташуу WireGuard протоколу аркылуу ишке ашырылат.
Текшерүүнү Cure53 жүргүзгөн, ал бир убакта NTPsec, SecureDrop, Cryptocat, F-Droid жана Dovecot долбоорлорун текшерген. Аудит баштапкы коддорду текшерүүнү камтыды жана мүмкүн болгон аялуу жерлерди аныктоо үчүн тесттерди камтыды (криптографияга байланыштуу маселелер каралган жок). Текшерүүнүн жүрүшүндө коопсуздук боюнча 16 маселе аныкталып, анын 8и сунуштамалар, 5и боюнча коркунучтун төмөн, экөөсү орто, бирөөнө жогорку деңгээлдеги кооптуулук даражасы берилди.
Бирок, катаалдыгы орточо деңгээлдеги бир гана маселе аялуу катары классификацияланган, анткени ал гана колдонууга мүмкүн болгон. Бул маселе VPN туннелинен тышкары жөнөтүлгөн шифрленбеген түз HTTP сурамдарынан улам туткун порталды аныктоо кодунда VPN колдонуу маалыматынын агып кетишине алып келди, эгерде чабуулчу транзиттик трафикти көзөмөлдөй алса, колдонуучунун негизги IP дарегин ачып берет. Көйгөй жөндөөлөрдөгү туткун порталды аныктоо режимин өчүрүү менен чечилет.
Орточо оордуктун экинчи көйгөйү порт номериндеги сандык эмес маанилердин талаптагыдай тазаланбагандыгы менен байланыштуу, бул порт номерин " сыяктуу сап менен алмаштыруу аркылуу OAuth аутентификациясынын параметрлеринин агып кетишине мүмкүндүк берет.[электрондук почта корголгон]", бул тэгдин орнотулушуна алып келет[электрондук почта корголгон]/?code=..." alt=""> 127.0.0.1 ордуна example.com кирүү.
Кооптуу деп белгиленген үчүнчү маселе, аутентификациясы жок каалаган локалдык тиркемеге localhost менен байланышкан WebSocket аркылуу VPN кардарына кирүү мүмкүнчүлүгүн берет. Мисал катары, жигердүү VPN кардары менен каалаган сайт screen_capture окуясын түзүү аркылуу скриншотту түзүүнү жана жөнөтүүнү кантип уюштура аларын көрсөтүлгөн. Бул көйгөй аялуу катары классификацияланбайт, анткени WebSocket ички тесттик түзүлүштөрдө гана колдонулган жана бул байланыш каналын колдонуу келечекте браузердин кошумчасы менен өз ара аракеттенүүнү уюштуруу үчүн гана пландаштырылган.
Source: opennet.ru