In de dienst Librem One, gericht op gebruik op een smartphone , direct daarna opgedoken met beveiliging die het project in diskrediet brengt, dat wordt aangeprezen als een veilig privacyplatform. De kwetsbaarheid werd gevonden in de dienst Librem Chat en maakte het mogelijk om als iedere gebruiker de chat te betreden, zonder de authenticatieparameters te kennen.
In de gebruikte backend-code was autorisatie via LDAP (matrix-appservice-ldap3) voor het Matrix-netwerk toegestaan , die bleek te zijn overgebracht naar de code van de Librem One-werkende dienst. In plaats van de regel “result, _ = yield self._ldap_simple_bind”, werd “result = yield self._ldap_simple_bind” gespecificeerd, waardoor elke gebruiker zonder autorisatie onder elke ID de chat kon betreden. De ontwikkelaars van het Matrix-project hebben een fout gemaakt dat het probleem alleen verscheen in de masterbranch “matrix-appservice-ldap3”, en niet in releases, maar er was een problematische regel in de repository sinds 2016 (misschien zijn de voorwaarden voor het oplossen van het probleem pas ontstaan na enkele andere recente wijzigingen).
De onlangs gelanceerde reeks Librem One-diensten impliceert een betaald abonnement ($7.99 per maand of $71.91 per jaar), maar de mobiele clients en serverprocessors zijn gebaseerd op bestaande open projecten die voor distributie onder het merk Librem. Librem Chat is bijvoorbeeld een hernoemde Matrix-client Librem Social is gebaseerd op , Librem Mail hernoemd van , Libremtunnel is geleend van . Servercomponenten zijn gebaseerd op
Postfix en Duiventil voor Librem Mail, voor Librem Chat en voor Librem Social. De reden om applicaties onder andere namen aan te bieden is de wens om diverse decentrale diensten op basis van open standaarden (Matrix, ActivityPub, IMAP) onder één herkenbaar merk te verzamelen.
Bron: opennet.ru
