Mozilla ka njoftuar përfundimin e një auditimi të pavarur të softuerit të klientit për t'u lidhur me shërbimin Mozilla VPN. Auditimi përfshiu një analizë të një aplikacioni të pavarur klienti të shkruar duke përdorur bibliotekën Qt dhe i disponueshëm për Linux, macOS, Windows, Android dhe iOS. Mozilla VPN mundësohet nga më shumë se 400 serverë të ofruesit suedez VPN Mullvad, të vendosur në më shumë se 30 vende. Lidhja me shërbimin VPN bëhet duke përdorur protokollin WireGuard.
Auditimi u krye nga Cure53, i cili në një kohë auditoi projektet NTPsec, SecureDrop, Cryptocat, F-Droid dhe Dovecot. Auditimi mbuloi verifikimin e kodeve burimore dhe përfshiu teste për të identifikuar dobësitë e mundshme (çështjet që lidhen me kriptografinë nuk u morën parasysh). Gjatë auditimit janë evidentuar 16 çështje të sigurisë, 8 prej të cilave rekomandime, 5 janë caktuar niveli i ulët i rrezikshmërisë, dy janë caktuar niveli i mesëm dhe njërit i është caktuar niveli i lartë i rrezikut.
Megjithatë, vetëm një çështje me nivel mesatar të ashpërsisë u klasifikua si cenueshmëri, pasi ishte e vetmja që ishte e shfrytëzueshme. Ky problem rezultoi në rrjedhje të informacionit të përdorimit të VPN-së në kodin e zbulimit të portalit të mbyllur për shkak të kërkesave direkte HTTP të pakriptuara të dërguara jashtë tunelit VPN, duke zbuluar adresën IP kryesore të përdoruesit nëse sulmuesi mund të kontrollonte trafikun tranzit. Problemi zgjidhet duke çaktivizuar modalitetin e zbulimit të portalit të kapur në cilësimet.
Problemi i dytë i ashpërsisë mesatare lidhet me mungesën e pastrimit të duhur të vlerave jo-numerike në numrin e portit, i cili lejon rrjedhjen e parametrave të vërtetimit të OAuth duke zëvendësuar numrin e portit me një varg si "[email mbrojtur]", gjë që do të bëjë që etiketa të instalohet[email mbrojtur]/?code=..." alt=""> duke hyrë në shembull.com në vend të 127.0.0.1.
Çështja e tretë, e shënuar si e rrezikshme, lejon çdo aplikacion lokal pa vërtetim të hyjë në një klient VPN nëpërmjet një WebSocket të lidhur me localhost. Si shembull, tregohet se si, me një klient aktiv VPN, çdo sajt mund të organizojë krijimin dhe dërgimin e një pamjeje nga ekrani duke gjeneruar ngjarjen screen_capture. Problemi nuk klasifikohet si dobësi, pasi WebSocket përdorej vetëm në versionet e brendshme të testeve dhe përdorimi i këtij kanali komunikimi ishte planifikuar vetëm në të ardhmen për të organizuar ndërveprimin me një shtesë të shfletuesit.
Burimi: opennet.ru