Mozilla VPN సేవకు కనెక్ట్ చేయడం కోసం క్లయింట్ సాఫ్ట్వేర్ యొక్క స్వతంత్ర ఆడిట్ను పూర్తి చేసినట్లు Mozilla ప్రకటించింది. Qt లైబ్రరీని ఉపయోగించి వ్రాసిన మరియు Linux, macOS, Windows, Android మరియు iOS కోసం అందుబాటులో ఉన్న స్టాండ్-అలోన్ క్లయింట్ అప్లికేషన్ యొక్క విశ్లేషణను ఆడిట్ కలిగి ఉంది. Mozilla VPN 400 కంటే ఎక్కువ దేశాలలో ఉన్న స్వీడిష్ VPN ప్రొవైడర్ ముల్వాడ్ యొక్క 30 కంటే ఎక్కువ సర్వర్ల ద్వారా శక్తిని పొందుతుంది. VPN సేవకు కనెక్షన్ WireGuard ప్రోటోకాల్ ఉపయోగించి చేయబడుతుంది.
ఒక సమయంలో NTPsec, SecureDrop, Cryptocat, F-Droid మరియు Dovecot ప్రాజెక్ట్లను ఆడిట్ చేసిన Cure53 ద్వారా ఆడిట్ జరిగింది. ఆడిట్ సోర్స్ కోడ్ల ధృవీకరణను కవర్ చేసింది మరియు సాధ్యమయ్యే దుర్బలత్వాలను గుర్తించడానికి పరీక్షలను చేర్చింది (క్రిప్టోగ్రఫీకి సంబంధించిన సమస్యలు పరిగణించబడలేదు). ఆడిట్ సమయంలో, 16 భద్రతా సమస్యలు గుర్తించబడ్డాయి, వాటిలో 8 సిఫార్సులు, 5 తక్కువ స్థాయి ప్రమాదాన్ని కేటాయించబడ్డాయి, రెండు మధ్యస్థ స్థాయిని కేటాయించబడ్డాయి మరియు ఒకరికి అధిక స్థాయి ప్రమాదాన్ని కేటాయించారు.
ఏది ఏమైనప్పటికీ, మీడియం తీవ్రత స్థాయి ఉన్న ఒక సమస్య మాత్రమే దుర్బలత్వంగా వర్గీకరించబడింది, ఎందుకంటే ఇది దోపిడీకి గురైంది. ఈ సమస్య VPN టన్నెల్ వెలుపల పంపబడిన ఎన్క్రిప్ట్ చేయని డైరెక్ట్ HTTP అభ్యర్థనల కారణంగా క్యాప్టివ్ పోర్టల్ డిటెక్షన్ కోడ్లో VPN వినియోగ సమాచారం లీకేజీకి దారితీసింది, దాడి చేసే వ్యక్తి రవాణా ట్రాఫిక్ను నియంత్రించగలిగితే వినియోగదారు ప్రాథమిక IP చిరునామాను బహిర్గతం చేస్తుంది. సెట్టింగ్లలో క్యాప్టివ్ పోర్టల్ డిటెక్షన్ మోడ్ను నిలిపివేయడం ద్వారా సమస్య పరిష్కరించబడుతుంది.
మీడియం తీవ్రత యొక్క రెండవ సమస్య పోర్ట్ నంబర్లోని సంఖ్యా రహిత విలువలను సరిగ్గా శుభ్రపరచకపోవడంతో ముడిపడి ఉంది, ఇది పోర్ట్ నంబర్ను స్ట్రింగ్తో భర్తీ చేయడం ద్వారా OAuth ప్రామాణీకరణ పారామితుల లీకేజీని అనుమతిస్తుంది.[ఇమెయిల్ రక్షించబడింది]", ఇది ట్యాగ్ ఇన్స్టాల్ చేయబడటానికి కారణమవుతుంది[ఇమెయిల్ రక్షించబడింది]/?code=..." alt=""> 127.0.0.1కి బదులుగా example.comని యాక్సెస్ చేస్తోంది.
మూడవ సమస్య, ప్రమాదకరమైనదిగా ఫ్లాగ్ చేయబడింది, స్థానిక హోస్ట్కు కట్టుబడి ఉన్న వెబ్సాకెట్ ద్వారా VPN క్లయింట్ను ప్రామాణీకరణ లేకుండా యాక్సెస్ చేయడానికి ఏదైనా స్థానిక అప్లికేషన్ను అనుమతిస్తుంది. ఒక ఉదాహరణగా, సక్రియ VPN క్లయింట్తో, స్క్రీన్_క్యాప్చర్ ఈవెంట్ను రూపొందించడం ద్వారా ఏదైనా సైట్ స్క్రీన్షాట్ని సృష్టించడం మరియు పంపడం ఎలా నిర్వహించగలదో చూపబడింది. వెబ్సాకెట్ అంతర్గత పరీక్ష బిల్డ్లలో మాత్రమే ఉపయోగించబడుతుంది మరియు ఈ కమ్యూనికేషన్ ఛానెల్ని ఉపయోగించడం భవిష్యత్తులో బ్రౌజర్ యాడ్-ఆన్తో పరస్పర చర్యను నిర్వహించడానికి మాత్రమే ప్లాన్ చేయబడినందున, సమస్య బలహీనతగా వర్గీకరించబడలేదు.
మూలం: opennet.ru