I tjänsten Librem One, som syftar till användning på en smartphone , direkt efter dök upp med säkerhet som misskrediterar projektet, som utses som en säker integritetsplattform. Sårbarheten hittades i Librem Chat-tjänsten och gjorde det möjligt att gå in i chatten som vilken användare som helst, utan att känna till autentiseringsparametrarna.
I den använda backend-koden tillåts auktorisering via LDAP (matrix-appservice-ldap3) för Matrix-nätverket , vilket visade sig vara överfört till koden för Librem One-arbetstjänsten. Istället för raden "result, _ = yield self._ldap_simple_bind", specificerades "result = yield self._ldap_simple_bind", vilket gjorde det möjligt för alla användare utan behörighet att gå in i chatten under vilken identifierare som helst. Utvecklarna av Matrix-projektet gjorde ett misstag att problemet endast dök upp i huvudgrenen "matrix-appservice-ldap3", och inte i utgåvor, men i förvaret finns en problematisk rad sedan 2016 (kanske villkoren för att hantera problemet uppstod först efter några andra senaste förändringar).
Den nyligen lanserade Librem One uppsättningen tjänster innebär ett betalabonnemang (7.99 USD per månad eller 71.91 USD per år), men de mobila klienterna och serverprocessorerna är baserade på befintliga öppna projekt som var för distribution under varumärket Librem. Till exempel är Librem Chat en omdöpt Matrix-klient Librem Social bygger på , Librem Mail bytt namn från , Librem Tunnel är lånad från . Serverkomponenter är baserade på
Postfix och dovecot för Librem Mail, för Librem Chat och för Librem Social. Anledningen till att leverera applikationer under andra namn är önskan att samla olika decentraliserade tjänster baserade på öppna standarder (Matrix, ActivityPub, IMAP) under ett igenkännbart varumärke.
Källa: opennet.ru