Mozilla, Mozilla VPN hizmetine bağlanmaya yönelik istemci yazılımının bağımsız denetiminin tamamlandığını duyurdu. Denetim, Qt kitaplığı kullanılarak yazılan ve Linux, macOS, Windows, Android ve iOS için kullanılabilen bağımsız bir istemci uygulamasının analizini içeriyordu. Mozilla VPN, İsveç VPN sağlayıcısı Mullvad'ın 400'dan fazla ülkede bulunan 30'den fazla sunucusu tarafından desteklenmektedir. VPN hizmetine bağlantı WireGuard protokolü kullanılarak yapılır.
Denetim, bir zamanlar NTPsec, SecureDrop, Cryptocat, F-Droid ve Dovecot projelerini denetleyen Cure53 tarafından gerçekleştirildi. Denetim, kaynak kodlarının doğrulanmasını kapsadı ve olası güvenlik açıklarını belirlemeye yönelik testleri içeriyordu (kriptografiyle ilgili sorunlar dikkate alınmadı). Denetim sırasında 16 güvenlik sorunu belirlendi; bunlardan 8'i tavsiye, 5'i düşük tehlike seviyesi, ikisi orta seviye ve biri yüksek tehlike seviyesi olarak belirlendi.
Bununla birlikte, yalnızca orta önem düzeyine sahip bir sorun, güvenlik açığı olarak sınıflandırıldı, çünkü bu, istismar edilebilecek tek sorundu. Bu sorun, VPN tüneli dışında gönderilen şifrelenmemiş doğrudan HTTP istekleri nedeniyle sabit portal algılama kodundaki VPN kullanım bilgilerinin sızmasına neden oldu ve saldırganın geçiş trafiğini kontrol edebilmesi durumunda kullanıcının birincil IP adresinin açığa çıkmasına neden oldu. Ayarlarda sabit portal algılama modunun devre dışı bırakılmasıyla sorun çözülür.
Orta önemdeki ikinci sorun, port numarasındaki sayısal olmayan değerlerin uygun şekilde temizlenmemesiyle ilişkilidir; bu, port numarasını “ gibi bir dizeyle değiştirerek OAuth kimlik doğrulama parametrelerinin sızmasına izin verir.[e-posta korumalı]" etiketinin yüklenmesine neden olacak[e-posta korumalı]/?code=..." alt=""> 127.0.0.1 yerine example.com'a erişiliyor.
Tehlikeli olarak işaretlenen üçüncü sorun, herhangi bir yerel uygulamanın, kimlik doğrulaması olmadan, localhost'a bağlı bir WebSocket aracılığıyla bir VPN istemcisine erişmesine izin verir. Örnek olarak, aktif bir VPN istemcisi ile herhangi bir sitenin screen_capture olayını oluşturarak ekran görüntüsünün oluşturulmasını ve gönderilmesini nasıl organize edebileceği gösterilmiştir. WebSocket yalnızca dahili test yapılarında kullanıldığından ve bu iletişim kanalının kullanımı yalnızca gelecekte bir tarayıcı eklentisiyle etkileşimi düzenlemek için planlandığından, sorun bir güvenlik açığı olarak sınıflandırılmıyor.
Kaynak: opennet.ru