Mozilla je objavila zaključek neodvisne revizije odjemalske programske opreme za povezovanje s storitvijo Mozilla VPN. Revizija je vključevala analizo samostojne odjemalske aplikacije, napisane s knjižnico Qt in na voljo za Linux, macOS, Windows, Android in iOS. Mozilla VPN poganja več kot 400 strežnikov švedskega ponudnika VPN Mullvad, ki se nahajajo v več kot 30 državah. Povezava s storitvijo VPN se izvaja s protokolom WireGuard.
Revizijo je izvedlo podjetje Cure53, ki je nekoč revidiralo projekte NTPsec, SecureDrop, Cryptocat, F-Droid in Dovecot. Revizija je zajemala preverjanje izvornih kod in vključevala teste za odkrivanje morebitnih ranljivosti (težave, povezane s kriptografijo, niso bile upoštevane). Med revizijo je bilo ugotovljenih 16 varnostnih vprašanj, od tega 8 priporočilnih, 5 z nizko stopnjo nevarnosti, dvema s srednjo stopnjo in ena z visoko stopnjo nevarnosti.
Vendar je bila samo ena težava s srednjo stopnjo resnosti razvrščena kot ranljivost, saj je bila edina, ki jo je bilo mogoče izkoristiti. Ta težava je povzročila uhajanje informacij o uporabi VPN v zaznavni kodi prestreznega portala zaradi nešifriranih neposrednih zahtev HTTP, poslanih zunaj tunela VPN, ki razkrijejo uporabnikov primarni naslov IP, če bi napadalec lahko nadziral tranzitni promet. Težavo rešimo tako, da v nastavitvah onemogočimo način zaznavanja prestreznega portala.
Druga težava srednje resnosti je povezana s pomanjkanjem ustreznega čiščenja neštevilskih vrednosti v številki vrat, kar omogoča uhajanje parametrov za preverjanje pristnosti OAuth z zamenjavo številke vrat z nizom, kot je "[e-pošta zaščitena]", kar bo povzročilo namestitev oznake[e-pošta zaščitena]/?code=..." alt=""> dostop do example.com namesto 127.0.0.1.
Tretja težava, označena kot nevarna, dovoljuje kateri koli lokalni aplikaciji brez preverjanja pristnosti dostop do odjemalca VPN prek WebSocketa, vezanega na localhost. Kot primer je prikazano, kako lahko z aktivnim odjemalcem VPN katera koli stran organizira ustvarjanje in pošiljanje posnetka zaslona z generiranjem dogodka screen_capture. Težava ni razvrščena kot ranljivost, saj je bil WebSocket uporabljen samo v internih testnih različicah in je bila uporaba tega komunikacijskega kanala načrtovana le v prihodnosti za organizacijo interakcije z dodatkom brskalnika.
Vir: opennet.ru