Mozilla đã thông báo hoàn thành cuộc kiểm toán độc lập phần mềm máy khách dùng để kết nối với dịch vụ VPN của Mozilla. Cuộc kiểm toán bao gồm phân tích một ứng dụng máy khách độc lập được viết bằng thư viện Qt và được cung cấp cho Mozilla. Linux, macOS, Windows, Android và iOS. Mozilla VPN hoạt động trên hơn 400 máy chủ từ nhà cung cấp VPN Thụy Điển Mullvad, đặt tại hơn 30 quốc gia. Kết nối đến VPN-Dịch vụ được thực hiện bằng cách sử dụng giao thức WireGuard.
Cuộc kiểm toán được thực hiện bởi Cure53, công ty đã từng kiểm tra các dự án NTPsec, SecureDrop, Cryptocat, F-Droid và Dovecot. Cuộc kiểm tra bao gồm việc xác minh mã nguồn và bao gồm các thử nghiệm để xác định các lỗ hổng có thể xảy ra (các vấn đề liên quan đến mật mã không được xem xét). Trong quá trình kiểm tra, 16 vấn đề về an toàn đã được xác định, trong đó có 8 vấn đề được khuyến nghị, 5 vấn đề được xếp ở mức độ nguy hiểm thấp, XNUMX vấn đề được xếp ở mức độ trung bình và một vấn đề được xếp ở mức độ nguy hiểm cao.
Tuy nhiên, chỉ có một vấn đề có mức độ nghiêm trọng trung bình được phân loại là lỗ hổng bảo mật vì đây là vấn đề duy nhất có thể khai thác được. Sự cố này dẫn đến rò rỉ thông tin sử dụng VPN trong mã phát hiện cổng bị khóa do các yêu cầu HTTP trực tiếp không được mã hóa được gửi bên ngoài đường hầm VPN, làm lộ địa chỉ IP chính của người dùng nếu kẻ tấn công có thể kiểm soát lưu lượng chuyển tuyến. Sự cố được giải quyết bằng cách tắt chế độ phát hiện cổng bị khóa trong cài đặt.
Vấn đề cấp độ trung bình thứ hai liên quan đến việc không dọn dẹp đúng cách các giá trị không phải số trong số cổng, điều này cho phép rò rỉ các tham số xác thực OAuth bằng cách thay thế số cổng bằng một chuỗi như "1234@example.com", điều này sẽ dẫn đến việc cài đặt thẻ , truy cập example.com thay vì 127.0.0.1.
Vấn đề thứ ba, được gắn cờ là nguy hiểm, cho phép bất kỳ ứng dụng cục bộ nào không cần xác thực đều có thể truy cập máy khách VPN thông qua WebSocket được liên kết với localhost. Ví dụ: nó cho thấy cách thức, với một máy khách VPN đang hoạt động, bất kỳ trang web nào cũng có thể tổ chức việc tạo và gửi ảnh chụp màn hình bằng cách tạo sự kiện screen_capture. Sự cố không được phân loại là lỗ hổng bảo mật vì WebSocket chỉ được sử dụng trong các bản dựng thử nghiệm nội bộ và việc sử dụng kênh liên lạc này chỉ được lên kế hoạch trong tương lai để tổ chức tương tác với tiện ích bổ sung của trình duyệt.
Nguồn: opennet.ru
