Mozilla huet d'Réalisatioun vun engem onofhängege Audit vu Client Software ugekënnegt fir mat dem Mozilla VPN Service ze verbannen. Den Audit enthält eng Analyse vun enger stand-alone Client Applikatioun geschriwwen mat der Qt Bibliothéik a verfügbar fir Linux, macOS, Windows, Android an iOS. Mozilla VPN gëtt vu méi wéi 400 Servere vum schwedesche VPN Provider Mullvad ugedriwwen, a méi wéi 30 Länner. D'Verbindung mam VPN Service gëtt mam WireGuard Protokoll gemaach.
Den Audit gouf vum Cure53 duerchgefouert, deen zu enger Zäit d'NTPsec, SecureDrop, Cryptocat, F-Droid an Dovecot Projete kontrolléiert huet. Den Audit huet d'Verifizéierung vu Quellcoden ofgedeckt an Tester abegraff fir méiglech Schwachstelle z'identifizéieren (Themen am Zesummenhang mat der Kryptografie goufen net berücksichtegt). Wärend dem Audit goufen 16 Sécherheetsprobleemer identifizéiert, 8 vun deenen Empfehlungen waren, 5 goufen e nidderegen Geforniveau zougewisen, zwee goufen e mëttleren Niveau zougewisen, an een huet en héije Geforniveau zougewisen.
Wéi och ëmmer, nëmmen een Thema mat engem mëttleren Gravitéitsniveau gouf als Schwachstelle klasséiert, well et deen eenzegen war deen ausnotabel war. Dëst Thema huet zu engem Leckage vu VPN Benotzungsinformatioun am captive Portal Detektiounscode gefouert wéinst onverschlësselten direkten HTTP-Ufroen, déi ausserhalb vum VPN-Tunnel geschéckt goufen, déi dem Benotzer seng primär IP Adress opgedeckt hunn, wann den Ugräifer den Transitverkéier kontrolléiere konnt. De Problem gëtt geléist andeems de Captive Portal Detektiounsmodus an den Astellungen auszeschalten.
Den zweete Problem vu mëttlerer Schwéierkraaft ass verbonne mat dem Mangel u properer Reinigung vun net-numeresche Wäerter an der Portnummer, wat Leckage vun OAuth Authentifikatiounsparameter erlaabt andeems d'Portnummer duerch eng String ersat gëtt wéi "[Email geschützt]", wat zu der Installatioun vum <img src="http://127.0.0.1 Tag:[Email geschützt]/?code=..." alt=""> Zougang zum Beispill.com amplaz 127.0.0.1.
Déi drëtt Ausgab, markéiert als geféierlech, erlaabt all lokal Applikatioun ouni Authentifikatioun Zougang zu engem VPN Client iwwer e WebSocket gebonnen un localhost. Als Beispill gëtt gewisen wéi, mat engem aktive VPN Client, all Site d'Schafung an d'Verschécken vun engem Screenshot organiséieren andeems de Screen_capture Event generéiert. De Problem ass net als Schwachstelle klasséiert, well WebSocket nëmmen an internen Testbau benotzt gouf an d'Benotzung vun dësem Kommunikatiounskanal nëmmen an Zukunft geplangt ass fir Interaktioun mat engem Browser-Add-on ze organiséieren.
Source: opennet.ru