Uzņēmums Mozilla ir paziņojis par neatkarīga klienta programmatūras audita pabeigšanu, lai izveidotu savienojumu ar pakalpojumu Mozilla VPN. Revīzijā tika analizēta atsevišķa klienta lietojumprogramma, kas rakstīta, izmantojot Qt bibliotēku un ir pieejama operētājsistēmām Linux, macOS, Windows, Android un iOS. Mozilla VPN nodrošina vairāk nekā 400 Zviedrijas VPN nodrošinātāja Mullvad serveru, kas atrodas vairāk nekā 30 valstīs. Savienojums ar VPN pakalpojumu tiek izveidots, izmantojot WireGuard protokolu.
Auditu veica uzņēmums Cure53, kas savulaik auditēja NTPsec, SecureDrop, Cryptocat, F-Droid un Dovecot projektus. Revīzija aptvēra pirmkodu pārbaudi un ietvēra testus, lai identificētu iespējamās ievainojamības (ar kriptogrāfiju saistītie jautājumi netika izskatīti). Audita laikā tika konstatēti 16 drošības jautājumi, no kuriem 8 bija ieteikumi, 5 – zems bīstamības līmenis, diviem – vidējs, bet vienam – augsts bīstamības līmenis.
Tomēr tikai viena problēma ar vidēja smaguma pakāpi tika klasificēta kā ievainojamība, jo tā bija vienīgā, kuru varēja izmantot. Šī problēma izraisīja VPN lietojuma informācijas noplūdi caurlaides portāla noteikšanas kodā, jo ārpus VPN tuneļa tika nosūtīti nešifrēti tiešie HTTP pieprasījumi, atklājot lietotāja primāro IP adresi, ja uzbrucējs var kontrolēt tranzīta trafiku. Problēma tiek atrisināta, iestatījumos atspējojot caurlaides portāla noteikšanas režīmu.
Otrā vidējas smaguma problēma ir saistīta ar porta numura neciparu vērtību pareizas tīrīšanas trūkumu, kas ļauj noplūst OAuth autentifikācijas parametri, aizstājot porta numuru ar virkni, piemēram, "[e-pasts aizsargāts]", kas izraisīs atzīmes instalēšanu[e-pasts aizsargāts]/?code=..." alt=""> piekļūstot example.com, nevis 127.0.0.1.
Trešā problēma, kas atzīmēta kā bīstama, ļauj jebkurai vietējai lietojumprogrammai bez autentifikācijas piekļūt VPN klientam, izmantojot WebSocket, kas ir saistīts ar localhost. Piemēram, ir parādīts, kā ar aktīvu VPN klientu jebkura vietne var organizēt ekrānuzņēmuma izveidi un nosūtīšanu, ģenerējot notikumu screen_capture. Problēma nav klasificēta kā ievainojamība, jo WebSocket tika izmantots tikai iekšējās testa versijās un šī saziņas kanāla izmantošana tika plānota tikai nākotnē, lai organizētu mijiedarbību ar pārlūkprogrammas papildinājumu.
Avots: opennet.ru