No serviço Librem One, voltado para uso em smartphone , logo depois veio à tona com segurança que desacredita o projeto, que é apresentado como uma plataforma de privacidade segura. A vulnerabilidade foi encontrada no serviço Librem Chat e possibilitou entrar no chat como qualquer usuário, sem conhecer os parâmetros de autenticação.
No código backend utilizado foi permitida autorização via LDAP (matrix-appservice-ldap3) para a rede Matrix , que acabou sendo transferido para o código do serviço de trabalho Librem One. Em vez da linha “resultado, _ = rendimento self._ldap_simple_bind”, foi especificado “result = rendimento self._ldap_simple_bind”, o que permitiu a qualquer usuário sem autorização entrar no chat sob qualquer identificador. Os desenvolvedores do projeto Matrix cometeram um erro que o problema só apareceu no branch master “matrix-appservice-ldap3”, e não nos releases, mas havia uma linha problemática no repositório desde 2016 (talvez as condições para operar o problema só tenham surgido após algumas outras mudanças recentes).
O recém-lançado conjunto de serviços Librem One implica uma assinatura paga (US$ 7.99 por mês ou US$ 71.91 por ano), mas os clientes móveis e processadores de servidor são baseados em projetos abertos existentes que foram para distribuição sob a marca Librem. Por exemplo, Librem Chat é um cliente Matrix renomeado Librem Social é baseado em , Librem Mail renomeado de , Librem Tunnel é emprestado de . Os componentes do servidor são baseados em
Postfix e Dovecot para Librem Mail, para Librem Chat e para Livrem Social. A razão para entregar aplicações sob outros nomes é o desejo de reunir vários serviços descentralizados baseados em padrões abertos (Matrix, ActivityPub, IMAP) sob uma marca reconhecível.
Fonte: opennet.ru