Mozilla аз анҷоми аудити мустақили нармафзори муштарӣ барои пайвастшавӣ ба хидмати Mozilla VPN эълон кард. Аудит таҳлили як барномаи муштарии мустақилро дар бар гирифт, ки бо истифода аз китобхонаи Qt навишта шудааст ва барои Linux, macOS, Windows, Android ва iOS дастрас аст. Mozilla VPN аз ҷониби зиёда аз 400 серверҳои провайдери VPN-и шведӣ Mullvad, ки дар зиёда аз 30 кишвари ҷаҳон ҷойгир аст, таъмин карда мешавад. Пайвастшавӣ ба хидмати VPN бо истифода аз протоколи WireGuard сурат мегирад.
Аудитро Cure53 гузаронидааст, ки дар як вақт лоиҳаҳои NTPsec, SecureDrop, Cryptocat, F-Droid ва Dovecot-ро санҷидааст. Аудит санҷиши рамзҳои ибтидоиро дар бар гирифт ва санҷишҳоро барои муайян кардани осебпазирии эҳтимолӣ дар бар гирифт (масъалаҳои марбут ба криптография баррасӣ карда нашуданд). Дар рафти санҷиш 16 масъалаи бехатарӣ муайян карда шуд, ки 8-тоаш тавсияҳо, 5-тоаш дараҷаи паст, ба дутоаш миёна ва ба яктоаш дараҷаи баланди хатар муайян карда шуд.
Аммо, танҳо як масъалае, ки дараҷаи вазнинии миёна дорад, ҳамчун осебпазирӣ тасниф карда шуд, зеро он ягона масъалае буд, ки истифодашаванда буд. Ин масъала боиси ихроҷи иттилооти истифодаи VPN дар коди муайянкунии портали асирӣ гардид, зеро дархостҳои мустақими HTTP, ки берун аз туннели VPN фиристода шудаанд, суроғаи асосии IP-и корбарро ошкор мекунад, агар ҳамлакунанда трафики транзитиро идора карда тавонад. Мушкилот тавассути хомӯш кардани ҳолати муайянкунии портали асирӣ дар танзимот ҳал карда мешавад.
Мушкилоти дуюми дараҷаи миёна бо набудани тозакунии дурусти арзишҳои ғайрирақамӣ дар рақами порт алоқаманд аст, ки имкон медиҳад, ки параметрҳои аутентификатсияи OAuth тавассути иваз кардани рақами порт бо сатри монанди "[почтаи электронӣ ҳифз карда шудааст]", ки боиси насби тег мегардад[почтаи электронӣ ҳифз карда шудааст]/?code=..." alt=""> дастрасӣ ба example.com ба ҷои 127.0.0.1.
Масъалаи сеюм, ки ҳамчун хатарнок ишора шудааст, имкон медиҳад, ки ҳар як барномаи маҳаллӣ бидуни аутентификатсия ба муштарии VPN тавассути WebSocket, ки ба localhost пайваст аст, дастрасӣ пайдо кунад. Ҳамчун мисол, нишон дода шудааст, ки чӣ гуна бо муштарии фаъоли VPN, ҳама гуна сайт метавонад эҷод ва фиристодани скриншотро тавассути тавлиди ҳодисаи screen_capture ташкил кунад. Мушкилот ҳамчун осебпазирӣ тасниф карда нашудааст, зеро WebSocket танҳо дар сохтани санҷишҳои дохилӣ истифода мешуд ва истифодаи ин канали иртиботӣ танҳо дар оянда барои ташкили ҳамкорӣ бо иловаи браузер ба нақша гирифта шудааст.
Манбаъ: opennet.ru