Mozilla je objavila zaključek neodvisne revizije odjemalske programske opreme za povezavo s storitvijo Mozilla VPN. Revizija je vključevala analizo samostojne odjemalske aplikacije, napisane s knjižnico Qt in dobavljene za Linux, macOS, Windows, Android in iOS. Mozilla VPN deluje na več kot 400 strežnikih švedskega ponudnika VPN Mullvad, ki se nahajajo v več kot 30 državah. Povezovanje z VPN-storitev se izvaja z uporabo protokola WireGuard.
Revizijo je izvedlo podjetje Cure53, ki je nekoč revidiralo projekte NTPsec, SecureDrop, Cryptocat, F-Droid in Dovecot. Revizija je zajemala preverjanje izvornih kod in vključevala teste za odkrivanje morebitnih ranljivosti (težave, povezane s kriptografijo, niso bile upoštevane). Med revizijo je bilo ugotovljenih 16 varnostnih vprašanj, od tega 8 priporočilnih, 5 z nizko stopnjo nevarnosti, dvema s srednjo stopnjo in ena z visoko stopnjo nevarnosti.
Vendar je bila samo ena težava s srednjo stopnjo resnosti razvrščena kot ranljivost, saj je bila edina, ki jo je bilo mogoče izkoristiti. Ta težava je povzročila uhajanje informacij o uporabi VPN v zaznavni kodi prestreznega portala zaradi nešifriranih neposrednih zahtev HTTP, poslanih zunaj tunela VPN, ki razkrijejo uporabnikov primarni naslov IP, če bi napadalec lahko nadziral tranzitni promet. Težavo rešimo tako, da v nastavitvah onemogočimo način zaznavanja prestreznega portala.
Druga težava na srednji ravni je povezana s pomanjkanjem ustreznega čiščenja neštevilskih vrednosti v številki vrat, kar omogoča uhajanje parametrov za preverjanje pristnosti OAuth z zamenjavo številke vrat z nizom, kot je »1234@example.com«, kar bo vodilo do namestitve oznake , dostop do example.com namesto 127.0.0.1.
Tretja težava, označena kot nevarna, dovoljuje kateri koli lokalni aplikaciji brez preverjanja pristnosti dostop do odjemalca VPN prek WebSocketa, vezanega na localhost. Kot primer je prikazano, kako lahko z aktivnim odjemalcem VPN katera koli stran organizira ustvarjanje in pošiljanje posnetka zaslona z generiranjem dogodka screen_capture. Težava ni razvrščena kot ranljivost, saj je bil WebSocket uporabljen samo v internih testnih različicah in je bila uporaba tega komunikacijskega kanala načrtovana le v prihodnosti za organizacijo interakcije z dodatkom brskalnika.
Vir: opennet.ru
