Mozilla нь Mozilla VPN үйлчилгээнд холбогдохын тулд үйлчлүүлэгчийн програм хангамжид бие даасан аудит хийж дууссанаа зарлалаа. Аудит нь Qt номын санг ашиглан бичсэн, Linux, macOS, Windows, Android болон iOS үйлдлийн системд ашиглах боломжтой бие даасан клиент програмын шинжилгээг багтаасан. Mozilla VPN нь 400 гаруй оронд байрладаг Шведийн VPN үйлчилгээ үзүүлэгч Mullvad-ийн 30 гаруй серверээр ажилладаг. VPN үйлчилгээтэй холбогдох нь WireGuard протоколыг ашиглан хийгддэг.
Аудитыг NTPsec, SecureDrop, Cryptocat, F-Droid, Dovecot төслүүдэд аудит хийсэн Cure53 хийсэн. Аудит нь эх кодын баталгаажуулалтыг хамарч, болзошгүй эмзэг байдлыг тодорхойлох туршилтуудыг оруулсан (криптографтай холбоотой асуудлыг авч үзээгүй). Шалгалтын явцад аюулгүй ажиллагааны 16 асуудал тогтоогдсоны 8 нь зөвлөмж, 5 нь бага, хоёр нь дунд, нэг нь өндөр зэрэглэлээр тогтоогдсон байна.
Гэсэн хэдий ч зөвхөн дунд зэргийн түвшний асуудал нь ашиглагдах боломжтой цорын ганц асуудал байсан тул эмзэг байдлын ангилалд багтсан. Энэ асуудал нь VPN туннелийн гадуур илгээсэн шифрлэгдээгүй шууд HTTP хүсэлтийн улмаас VPN ашиглалтын мэдээлэл алдагдсан портал илрүүлэх кодонд алдагдсан бөгөөд хэрэв халдагч дамжин өнгөрөх урсгалыг удирдаж чадвал хэрэглэгчийн үндсэн IP хаягийг илрүүлсэн. Тохиргоо дотроос олзлогдсон портал илрүүлэх горимыг идэвхгүй болгосноор асуудал шийдэгдэнэ.
Дунд зэргийн хүндийн хоёр дахь асуудал нь портын дугаар дахь тоон бус утгуудыг зохих ёсоор цэвэрлээгүйтэй холбоотой бөгөөд энэ нь портын дугаарыг " гэх мэт мөрөөр солих замаар OAuth баталгаажуулалтын параметрүүдийг алдагдуулах боломжийг олгодог.[имэйлээр хамгаалагдсан]", энэ нь шошгыг суулгахад хүргэдэг[имэйлээр хамгаалагдсан]/?code=..." alt=""> 127.0.0.1-ийн оронд example.com руу нэвтэрч байна.
Аюултай гэж тэмдэглэгдсэн гуравдахь асуудал нь ямар ч локал программыг локал хосттой холбогдсон WebSocket-ээр дамжуулан VPN клиент рүү нэвтрэлт танилтгүй нэвтрэх боломжийг олгодог. Жишээлбэл, идэвхтэй VPN үйлчлүүлэгчтэй бол ямар ч сайт screen_capture үйл явдлыг үүсгэн дэлгэцийн агшин үүсгэх, илгээх ажлыг хэрхэн зохион байгуулж болохыг харуулсан. WebSocket-ийг зөвхөн дотоод туршилтын системд ашигладаг байсан бөгөөд энэ харилцаа холбооны сувгийг зөвхөн хөтчийн нэмэлттэй харилцах ажлыг зохион байгуулах зорилгоор ашиглахаар төлөвлөж байсан тул асуудлыг эмзэг гэж ангилдаггүй.
Эх сурвалж: opennet.ru