Mozilla imetangaza kukamilika kwa ukaguzi huru wa programu ya mteja ili kuunganisha kwenye huduma ya Mozilla VPN. Ukaguzi ulijumuisha uchanganuzi wa programu ya mteja wa kujitegemea iliyoandikwa kwa kutumia maktaba ya Qt na inapatikana kwa Linux, macOS, Windows, Android na iOS. Mozilla VPN inaendeshwa na zaidi ya seva 400 za mtoa huduma wa VPN ya Uswidi Mullvad, iliyoko katika zaidi ya nchi 30. Muunganisho kwenye huduma ya VPN hufanywa kwa kutumia itifaki ya WireGuard.
Ukaguzi ulifanywa na Cure53, ambayo wakati mmoja ilikagua miradi ya NTPsec, SecureDrop, Cryptocat, F-Droid na Dovecot. Ukaguzi ulihusisha uthibitishaji wa misimbo ya chanzo na ulijumuisha majaribio ya kutambua udhaifu unaowezekana (maswala yanayohusiana na cryptography hayakuzingatiwa). Wakati wa ukaguzi, masuala 16 ya usalama yalibainishwa, 8 kati ya hayo yalikuwa mapendekezo, 5 yalipewa kiwango cha chini cha hatari, mawili yalipewa kiwango cha kati, na mmoja alipewa kiwango cha juu cha hatari.
Hata hivyo, ni suala moja tu lililo na kiwango cha ukali wa wastani liliorodheshwa kuwa hatari, kwa kuwa ndilo pekee lililoweza kutumiwa. Tatizo hili lilisababisha uvujaji wa maelezo ya utumiaji wa VPN katika msimbo wa ugunduzi wa lango lililofungwa kutokana na maombi ya HTTP ya moja kwa moja ambayo hayajasimbwa yaliyotumwa nje ya njia ya VPN, na hivyo kufichua anwani msingi ya IP ya mtumiaji ikiwa mvamizi angeweza kudhibiti trafiki ya usafiri. Tatizo linatatuliwa kwa kuzima hali ya ugunduzi wa lango katika mipangilio.
Shida ya pili ya ukali wa kati inahusishwa na ukosefu wa usafishaji sahihi wa maadili yasiyo ya nambari katika nambari ya bandari, ambayo inaruhusu kuvuja kwa vigezo vya uthibitishaji wa OAuth kwa kubadilisha nambari ya bandari na kamba kama "[barua pepe inalindwa]", ambayo itasababisha lebo kusakinishwa[barua pepe inalindwa]/?code=..." alt=""> inafikia example.com badala ya 127.0.0.1.
Toleo la tatu, lililotiwa alama kuwa hatari, huruhusu programu yoyote ya ndani bila uthibitishaji kufikia mteja wa VPN kupitia WebSocket inayofungamana na mwenyeji wa ndani. Kama mfano, inaonyeshwa jinsi, kwa mteja anayetumika wa VPN, tovuti yoyote inaweza kupanga uundaji na utumaji wa picha ya skrini kwa kutoa tukio la kukamata skrini. Tatizo halijaainishwa kuwa hatari, kwa kuwa WebSocket ilitumika tu katika miundo ya majaribio ya ndani na matumizi ya kituo hiki cha mawasiliano yalipangwa tu katika siku zijazo kupanga mwingiliano na programu jalizi ya kivinjari.
Chanzo: opennet.ru