پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > Mozilla VPN کلائنٹ آڈٹ کے نتائج شائع ہو گئے۔

Mozilla VPN کلائنٹ آڈٹ کے نتائج شائع ہو گئے۔

Mozilla نے Mozilla VPN سروس سے منسلک ہونے کے لیے کلائنٹ سافٹ ویئر کا ایک آزاد آڈٹ مکمل کرنے کا اعلان کیا ہے۔ آڈٹ میں Qt لائبریری کا استعمال کرتے ہوئے لکھی گئی اور لینکس، میک او ایس، ونڈوز، اینڈرائیڈ اور آئی او ایس کے لیے دستیاب اسٹینڈ اکیلے کلائنٹ ایپلی کیشن کا تجزیہ شامل تھا۔ Mozilla VPN 400 سے ​​زیادہ ممالک میں واقع سویڈش VPN فراہم کنندہ Mullvad کے 30 سے زیادہ سرورز سے تقویت یافتہ ہے۔ VPN سروس سے کنکشن WireGuard پروٹوکول کا استعمال کرتے ہوئے بنایا گیا ہے۔

یہ آڈٹ Cure53 کے ذریعے کیا گیا تھا، جس نے ایک وقت میں NTPsec، SecureDrop، Cryptocat، F-Droid اور Dovecot منصوبوں کا آڈٹ کیا تھا۔ آڈٹ میں سورس کوڈز کی تصدیق کا احاطہ کیا گیا اور ممکنہ کمزوریوں کی شناخت کے لیے ٹیسٹ شامل کیے گئے (کرپٹوگرافی سے متعلق مسائل پر غور نہیں کیا گیا)۔ آڈٹ کے دوران، 16 حفاظتی مسائل کی نشاندہی کی گئی، جن میں سے 8 سفارشات، 5 کو خطرے کی کم سطح، دو کو درمیانے درجے کا، اور ایک کو اعلی درجے کا خطرہ تفویض کیا گیا۔

تاہم، درمیانے درجے کی شدت کے ساتھ صرف ایک مسئلہ کو کمزوری کے طور پر درجہ بندی کیا گیا تھا، کیونکہ یہ واحد مسئلہ تھا جو قابل استعمال تھا۔ اس مسئلے کے نتیجے میں کیپٹیو پورٹل کا پتہ لگانے والے کوڈ میں VPN کے استعمال کی معلومات کے لیک ہونے کے نتیجے میں VPN سرنگ کے باہر بھیجی گئی غیر خفیہ کردہ براہ راست HTTP درخواستوں کی وجہ سے صارف کا بنیادی IP پتہ ظاہر ہوتا ہے اگر حملہ آور ٹرانزٹ ٹریفک کو کنٹرول کر سکتا ہے۔ سیٹنگز میں کیپٹیو پورٹل ڈیٹیکشن موڈ کو غیر فعال کر کے مسئلہ حل ہو جاتا ہے۔

درمیانے درجے کی شدت کا دوسرا مسئلہ پورٹ نمبر میں غیر عددی اقدار کی مناسب صفائی کی کمی سے منسلک ہے، جو پورٹ نمبر کو اسٹرنگ کے ساتھ تبدیل کرکے OAuth تصدیق کے پیرامیٹرز کو لیک ہونے کی اجازت دیتا ہے جیسے "[ای میل محفوظ]"، جس کی وجہ سے ٹیگ انسٹال ہو جائے گا۔[ای میل محفوظ]/?code=..." alt=""> 127.0.0.1 کے بجائے example.com تک رسائی حاصل کرنا۔

تیسرا مسئلہ، جسے خطرناک کے طور پر نشان زد کیا گیا ہے، کسی بھی مقامی ایپلیکیشن کو بغیر تصدیق کے وی پی این کلائنٹ تک رسائی کی اجازت دیتا ہے ویب ساکٹ لوکل ہوسٹ کے ساتھ۔ مثال کے طور پر، یہ دکھایا گیا ہے کہ کس طرح، ایک فعال VPN کلائنٹ کے ساتھ، کوئی بھی سائٹ screen_capture ایونٹ بنا کر اسکرین شاٹ کی تخلیق اور بھیجنے کا انتظام کر سکتی ہے۔ مسئلہ کو کمزوری کے طور پر درجہ بندی نہیں کیا گیا ہے، کیونکہ WebSocket کو صرف اندرونی ٹیسٹ کی تعمیر میں استعمال کیا گیا تھا اور اس مواصلاتی چینل کے استعمال کا منصوبہ صرف مستقبل میں براؤزر ایڈ آن کے ساتھ تعامل کو منظم کرنے کے لیے بنایا گیا تھا۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں