Mozilla đã công bố hoàn thành cuộc kiểm tra độc lập đối với phần mềm máy khách để kết nối với dịch vụ Mozilla VPN. Quá trình kiểm tra bao gồm phân tích một ứng dụng khách độc lập được viết bằng thư viện Qt và có sẵn cho Linux, macOS, Windows, Android và iOS. Mozilla VPN được cung cấp bởi hơn 400 máy chủ của nhà cung cấp VPN Thụy Điển Mullvad, có trụ sở tại hơn 30 quốc gia. Kết nối với dịch vụ VPN được thực hiện bằng giao thức WireGuard.
Cuộc kiểm toán được thực hiện bởi Cure53, công ty đã từng kiểm tra các dự án NTPsec, SecureDrop, Cryptocat, F-Droid và Dovecot. Cuộc kiểm tra bao gồm việc xác minh mã nguồn và bao gồm các thử nghiệm để xác định các lỗ hổng có thể xảy ra (các vấn đề liên quan đến mật mã không được xem xét). Trong quá trình kiểm tra, 16 vấn đề về an toàn đã được xác định, trong đó có 8 vấn đề được khuyến nghị, 5 vấn đề được xếp ở mức độ nguy hiểm thấp, XNUMX vấn đề được xếp ở mức độ trung bình và một vấn đề được xếp ở mức độ nguy hiểm cao.
Tuy nhiên, chỉ có một vấn đề có mức độ nghiêm trọng trung bình được phân loại là lỗ hổng bảo mật vì đây là vấn đề duy nhất có thể khai thác được. Sự cố này dẫn đến rò rỉ thông tin sử dụng VPN trong mã phát hiện cổng bị khóa do các yêu cầu HTTP trực tiếp không được mã hóa được gửi bên ngoài đường hầm VPN, làm lộ địa chỉ IP chính của người dùng nếu kẻ tấn công có thể kiểm soát lưu lượng chuyển tuyến. Sự cố được giải quyết bằng cách tắt chế độ phát hiện cổng bị khóa trong cài đặt.
Vấn đề thứ hai ở mức độ nghiêm trọng trung bình liên quan đến việc thiếu việc làm sạch đúng cách các giá trị không phải số trong số cổng, điều này cho phép rò rỉ các tham số xác thực OAuth bằng cách thay thế số cổng bằng một chuỗi như “[email được bảo vệ]", điều này sẽ khiến thẻ được cài đặt[email được bảo vệ]/?code=..." alt=""> truy cập example.com thay vì 127.0.0.1.
Vấn đề thứ ba, được gắn cờ là nguy hiểm, cho phép bất kỳ ứng dụng cục bộ nào không cần xác thực đều có thể truy cập máy khách VPN thông qua WebSocket được liên kết với localhost. Ví dụ: nó cho thấy cách thức, với một máy khách VPN đang hoạt động, bất kỳ trang web nào cũng có thể tổ chức việc tạo và gửi ảnh chụp màn hình bằng cách tạo sự kiện screen_capture. Sự cố không được phân loại là lỗ hổng bảo mật vì WebSocket chỉ được sử dụng trong các bản dựng thử nghiệm nội bộ và việc sử dụng kênh liên lạc này chỉ được lên kế hoạch trong tương lai để tổ chức tương tác với tiện ích bổ sung của trình duyệt.
Nguồn: opennet.ru