Inihayag ng Mozilla ang pagkumpleto ng isang independiyenteng pag-audit ng software ng kliyente para sa pagkonekta sa serbisyo ng Mozilla VPN. Kasama sa audit ang pagsusuri ng isang stand-alone na application ng kliyente na isinulat gamit ang Qt library at available para sa Linux, macOS, Windows, Android at iOS. Ang Mozilla VPN ay pinapagana ng higit sa 400 server ng Swedish VPN provider na Mullvad, na matatagpuan sa higit sa 30 mga bansa. Ang koneksyon sa serbisyo ng VPN ay ginawa gamit ang WireGuard protocol.
Ang pag-audit ay isinagawa ng Cure53, na minsang nag-audit sa mga proyekto ng NTPsec, SecureDrop, Cryptocat, F-Droid at Dovecot. Saklaw ng audit ang pag-verify ng mga source code at kasama ang mga pagsubok para matukoy ang mga posibleng kahinaan (hindi isinasaalang-alang ang mga isyung nauugnay sa cryptography). Sa panahon ng pag-audit, 16 na isyu sa kaligtasan ang natukoy, 8 sa mga ito ay mga rekomendasyon, 5 ang itinalaga sa mababang antas ng panganib, dalawa ang itinalaga sa katamtamang antas, at ang isa ay itinalaga ng mataas na antas ng panganib.
Gayunpaman, isang isyu lang na may katamtamang antas ng kalubhaan ang inuri bilang isang kahinaan, dahil ito lang ang napagsasamantalahan. Ang isyung ito ay nagresulta sa pagtagas ng impormasyon sa paggamit ng VPN sa captive portal detection code dahil sa hindi naka-encrypt na direktang HTTP na mga kahilingan na ipinadala sa labas ng VPN tunnel, na nagpapakita ng pangunahing IP address ng user kung makokontrol ng attacker ang trapiko ng transit. Ang problema ay malulutas sa pamamagitan ng hindi pagpapagana ng captive portal detection mode sa mga setting.
Ang pangalawang problema ng katamtamang kalubhaan ay nauugnay sa kakulangan ng wastong paglilinis ng mga hindi numeric na halaga sa numero ng port, na nagpapahintulot sa pagtagas ng mga parameter ng pagpapatunay ng OAuth sa pamamagitan ng pagpapalit ng numero ng port ng isang string tulad ng "[protektado ng email]", na magiging sanhi ng pag-install ng tag[protektado ng email]/?code=..." alt=""> pag-access sa example.com sa halip na 127.0.0.1.
Ang ikatlong isyu, na na-flag bilang mapanganib, ay nagbibigay-daan sa anumang lokal na application na walang pagpapatunay na ma-access ang isang VPN client sa pamamagitan ng isang WebSocket na nakatali sa localhost. Bilang halimbawa, ipinapakita kung paano, sa isang aktibong kliyente ng VPN, maaaring ayusin ng anumang site ang paggawa at pagpapadala ng screenshot sa pamamagitan ng pagbuo ng kaganapan sa screen_capture. Ang problema ay hindi inuri bilang isang kahinaan, dahil ang WebSocket ay ginamit lamang sa mga panloob na pagtatayo ng pagsubok at ang paggamit ng channel ng komunikasyon na ito ay binalak lamang sa hinaharap upang ayusin ang pakikipag-ugnayan sa isang browser add-on.
Pinagmulan: opennet.ru