Mozilla најави завршување на независна ревизија на клиентски софтвер за поврзување со услугата Mozilla VPN. Ревизијата опфати анализа на самостојна клиентска апликација напишана со помош на библиотеката Qt и достапна за Linux, macOS, Windows, Android и iOS. Mozilla VPN се напојува со повеќе од 400 сервери на шведскиот VPN провајдер Mullvad, лоциран во повеќе од 30 земји. Поврзувањето со услугата VPN се врши со помош на протоколот WireGuard.
Ревизијата беше спроведена од Cure53, која своевремено изврши ревизија на проектите NTPsec, SecureDrop, Cryptocat, F-Droid и Dovecot. Ревизијата ја опфати верификацијата на изворните кодови и вклучи тестови за да се идентификуваат можните пропусти (не беа земени предвид прашањата поврзани со криптографијата). При ревизијата се констатирани 16 безбедносни прашања, од кои 8 се препораки, на 5 им е доделено ниско ниво на опасност, на две им е одредено средно ниво и на едно високо ниво на опасност.
Сепак, само еден проблем со средно ниво на сериозност беше класифициран како ранливост, бидејќи беше единствениот што можеше да се искористи. Овој проблем резултираше со истекување на информации за користење VPN во кодот за откривање на заробен портал поради нешифрирани директни HTTP барања испратени надвор од тунелот VPN, откривајќи ја примарната IP адреса на корисникот доколку напаѓачот може да го контролира транзитниот сообраќај. Проблемот е решен со оневозможување на режимот за откривање заробен портал во поставките.
Вториот проблем со средна сериозност е поврзан со недостатокот на правилно чистење на ненумеричките вредности во бројот на портата, што овозможува истекување на параметрите за автентикација на OAuth со замена на бројот на портата со низа како „[заштитена по е-пошта]“, што ќе доведе до инсталирање на ознаката[заштитена по е-пошта]/?code=..." alt=""> пристап до example.com наместо 127.0.0.1.
Третиот проблем, означен како опасен, им овозможува на секоја локална апликација без автентикација да пристапи до VPN клиент преку WebSocket врзан за localhost. Како пример, прикажано е како, со активен VPN клиент, која било локација може да организира создавање и испраќање на скриншот со генерирање на настанот screen_capture. Проблемот не е класифициран како ранливост, бидејќи WebSocket се користеше само во внатрешни тест-изградби и користењето на овој комуникациски канал беше планирано само во иднина за да се организира интеракција со додаток на прелистувачот.
Извор: opennet.ru