A Mozilla anunciou a conclusão de uma auditoria independente do software cliente para conexão ao serviço Mozilla VPN. A auditoria incluiu uma análise de um aplicativo cliente independente escrito usando a biblioteca Qt e disponível para Linux, macOS, Windows, Android e iOS. O Mozilla VPN é alimentado por mais de 400 servidores do provedor VPN sueco Mullvad, localizados em mais de 30 países. A conexão ao serviço VPN é feita através do protocolo WireGuard.
A auditoria foi realizada pela Cure53, que já auditou os projetos NTPsec, SecureDrop, Cryptocat, F-Droid e Dovecot. A auditoria abrangeu a verificação de códigos-fonte e incluiu testes para identificar possíveis vulnerabilidades (não foram consideradas questões relacionadas à criptografia). Durante a auditoria, foram identificadas 16 questões de segurança, 8 das quais eram recomendações, 5 foram atribuídas a um nível de perigo baixo, a duas foram atribuídas a um nível de perigo médio e a uma foi atribuído um nível de perigo elevado.
Porém, apenas um problema com nível de gravidade médio foi classificado como vulnerabilidade, por ser o único explorável. Esse problema resultou no vazamento de informações de uso da VPN no código de detecção do portal cativo devido a solicitações HTTP diretas não criptografadas enviadas para fora do túnel VPN, revelando o endereço IP principal do usuário se o invasor pudesse controlar o tráfego de trânsito. O problema é resolvido desativando o modo de detecção do portal cativo nas configurações.
O segundo problema de gravidade média está associado à falta de limpeza adequada dos valores não numéricos no número da porta, o que permite o vazamento dos parâmetros de autenticação OAuth ao substituir o número da porta por uma string como “[email protegido]", o que levará à instalação da tag[email protegido]/?code=..." alt=""> acessando example.com em vez de 127.0.0.1.
O terceiro problema, sinalizado como perigoso, permite que qualquer aplicativo local sem autenticação acesse um cliente VPN por meio de um WebSocket vinculado ao host local. Como exemplo, é mostrado como, com um cliente VPN ativo, qualquer site poderia organizar a criação e envio de uma captura de tela gerando o evento screen_capture. O problema não é classificado como vulnerabilidade, pois o WebSocket foi utilizado apenas em compilações de testes internos e o uso deste canal de comunicação foi planejado no futuro apenas para organizar a interação com um complemento do navegador.
Fonte: opennet.ru