Mozilla a anunțat finalizarea unui audit independent al software-ului client pentru conectarea la serviciul VPN Mozilla. Auditul a inclus o analiză a unei aplicații client autonome scrisă folosind biblioteca Qt și disponibilă pentru Linux, macOS, Windows, Android și iOS. Mozilla VPN este alimentat de peste 400 de servere ale furnizorului suedez de VPN Mullvad, situat în peste 30 de țări. Conexiunea la serviciul VPN se face folosind protocolul WireGuard.
Auditul a fost realizat de Cure53, care a auditat la un moment dat proiectele NTPsec, SecureDrop, Cryptocat, F-Droid și Dovecot. Auditul a acoperit verificarea codurilor sursă și a inclus teste pentru identificarea posibilelor vulnerabilități (problemele legate de criptografie nu au fost luate în considerare). În cadrul auditului au fost identificate 16 probleme de siguranță, dintre care 8 au fost recomandări, 5 li s-a atribuit un nivel scăzut de pericol, două au primit un nivel mediu, iar unuia i s-a atribuit un nivel ridicat de pericol.
Cu toate acestea, o singură problemă cu un nivel de severitate mediu a fost clasificată drept vulnerabilitate, deoarece a fost singura care a fost exploatată. Această problemă a dus la scurgeri de informații despre utilizarea VPN în codul de detectare a portalului captiv din cauza solicitărilor HTTP directe necriptate trimise în afara tunelului VPN, dezvăluind adresa IP principală a utilizatorului dacă atacatorul ar putea controla traficul de tranzit. Problema este rezolvată prin dezactivarea modului de detectare a portalului captiv din setări.
A doua problemă de severitate medie este asociată cu lipsa curățării corespunzătoare a valorilor non-numerice din numărul de port, ceea ce permite scurgerea parametrilor de autentificare OAuth prin înlocuirea numărului portului cu un șir de tipul „[e-mail protejat]", ceea ce va determina instalarea etichetei[e-mail protejat]/?code=..." alt=""> accesând example.com în loc de 127.0.0.1.
A treia problemă, marcată ca periculoasă, permite oricărei aplicații locale fără autentificare să acceseze un client VPN printr-un WebSocket legat de localhost. Ca exemplu, se arată cum, cu un client VPN activ, orice site ar putea organiza crearea și trimiterea unei capturi de ecran prin generarea evenimentului screen_capture. Problema nu este clasificată ca vulnerabilitate, deoarece WebSocket a fost folosit doar în versiunile de testare interne, iar utilizarea acestui canal de comunicare a fost planificată doar în viitor pentru a organiza interacțiunea cu un add-on de browser.
Sursa: opennet.ru