Mozilla heeft de voltooiing aangekondigd van een onafhankelijke audit van clientsoftware voor verbinding met de Mozilla VPN-service. De audit omvatte een analyse van een stand-alone clientapplicatie geschreven met behulp van de Qt-bibliotheek en beschikbaar voor Linux, macOS, Windows, Android en iOS. Mozilla VPN wordt mogelijk gemaakt door meer dan 400 servers van de Zweedse VPN-provider Mullvad, gevestigd in meer dan 30 landen. Verbinding met de VPN-service wordt gemaakt met behulp van het WireGuard-protocol.
De audit werd uitgevoerd door Cure53, die ooit de projecten NTPsec, SecureDrop, Cryptocat, F-Droid en Dovecot controleerde. De audit omvatte de verificatie van broncodes en omvatte tests om mogelijke kwetsbaarheden te identificeren (problemen met betrekking tot cryptografie werden niet in aanmerking genomen). Tijdens de audit zijn 16 veiligheidsproblemen geïdentificeerd, waarvan er 8 aanbevelingen waren, 5 een laag gevaarniveau kregen, twee een gemiddeld niveau en één een hoog gevaarniveau.
Slechts één probleem met een gemiddeld ernstniveau werd echter geclassificeerd als een kwetsbaarheid, omdat dit het enige probleem was dat kon worden misbruikt. Dit probleem resulteerde in het lekken van VPN-gebruiksinformatie in de captive portal-detectiecode als gevolg van niet-gecodeerde directe HTTP-verzoeken die buiten de VPN-tunnel werden verzonden, waardoor het primaire IP-adres van de gebruiker werd onthuld als de aanvaller het transitverkeer kon controleren. Het probleem wordt opgelost door de captive portal-detectiemodus in de instellingen uit te schakelen.
Het tweede probleem van gemiddelde ernst houdt verband met het ontbreken van een goede opschoning van niet-numerieke waarden in het poortnummer, waardoor OAuth-authenticatieparameters kunnen lekken door het poortnummer te vervangen door een string als “[e-mail beveiligd]", waardoor de tag wordt geïnstalleerd[e-mail beveiligd]/?code=..." alt=""> toegang tot example.com in plaats van 127.0.0.1.
Het derde probleem, gemarkeerd als gevaarlijk, zorgt ervoor dat elke lokale applicatie zonder authenticatie toegang kan krijgen tot een VPN-client via een WebSocket die is gebonden aan localhost. Als voorbeeld wordt getoond hoe elke site, met een actieve VPN-client, het maken en verzenden van een screenshot kan organiseren door de screen_capture-gebeurtenis te genereren. Het probleem is niet geclassificeerd als een kwetsbaarheid, aangezien WebSocket alleen werd gebruikt in interne testbuilds en het gebruik van dit communicatiekanaal in de toekomst alleen was gepland om interactie met een browser-add-on te organiseren.
Bron: opennet.ru