Mozilla kompaniyasi Mozilla VPN xizmatiga ulanish uchun mijoz dasturiy ta'minotining mustaqil auditi tugaganini e'lon qildi. Audit Qt kutubxonasidan foydalangan holda yozilgan va Linux, macOS, Windows, Android va iOS uchun mavjud bo'lgan mustaqil mijoz ilovasining tahlilini o'z ichiga oldi. Mozilla VPN 400 dan ortiq mamlakatlarda joylashgan shved VPN provayderi Mullvadning 30 dan ortiq serverlari tomonidan quvvatlanadi. VPN xizmatiga ulanish WireGuard protokoli yordamida amalga oshiriladi.
Audit bir vaqtning o'zida NTPsec, SecureDrop, Cryptocat, F-Droid va Dovecot loyihalarini tekshirgan Cure53 tomonidan amalga oshirildi. Audit manba kodlarini tekshirishni qamrab oldi va mumkin bo'lgan zaifliklarni aniqlash uchun testlarni o'z ichiga oldi (kriptografiya bilan bog'liq masalalar ko'rib chiqilmadi). Audit davomida 16 ta xavfsizlik masalalari aniqlangan bo‘lib, ulardan 8 tasi tavsiyalar, 5 tasi bo‘yicha past, XNUMX tasi bo‘yicha o‘rta va bittasi bo‘yicha yuqori xavflilik darajasi belgilandi.
Biroq, o'rtacha jiddiylik darajasidagi faqat bitta muammo zaiflik sifatida tasniflandi, chunki undan foydalanish mumkin bo'lgan yagona muammo edi. Bu muammo VPN tunnelidan tashqarida yuborilgan shifrlanmagan to‘g‘ridan-to‘g‘ri HTTP so‘rovlari tufayli tutqun portalni aniqlash kodida VPN foydalanish ma’lumotlarining sizib chiqishiga olib keldi va agar tajovuzkor tranzit trafigini boshqara olsa, foydalanuvchining asosiy IP-manzilini ko‘rsatadi. Muammo sozlamalarda tutqun portalni aniqlash rejimini o'chirish orqali hal qilinadi.
O'rtacha jiddiylikdagi ikkinchi muammo port raqamidagi raqamli bo'lmagan qiymatlarni to'g'ri tozalashning yo'qligi bilan bog'liq bo'lib, bu port raqamini " kabi qator bilan almashtirish orqali OAuth autentifikatsiya parametrlarining oqib ketishiga imkon beradi.[elektron pochta bilan himoyalangan]", bu teg o'rnatilishiga olib keladi[elektron pochta bilan himoyalangan]/?code=..." alt=""> 127.0.0.1 o'rniga example.com saytiga kirish.
Xavfli deb belgilangan uchinchi muammo autentifikatsiyasiz har qanday mahalliy dasturga localhost-ga ulangan WebSocket orqali VPN mijoziga kirish imkonini beradi. Misol sifatida, faol VPN mijozi bilan har qanday sayt screen_capture hodisasini yaratish orqali skrinshotni yaratish va yuborishni qanday tashkil qilishi mumkinligi ko'rsatilgan. Muammo zaiflik sifatida tasniflanmaydi, chunki WebSocket faqat ichki test tuzilmalarida ishlatilgan va ushbu aloqa kanalidan foydalanish kelajakda faqat brauzer qo'shimchasi bilan o'zaro aloqani tashkil qilish uchun rejalashtirilgan edi.
Manba: opennet.ru