Mozilla 宣布完成对连接 Mozilla VPN 服务的客户端软件的独立审核。 审计包括对使用 Qt 库编写并针对 Linux、macOS、Windows、Android 和 iOS 交付的独立客户端应用程序进行分析。 Mozilla VPN 由瑞典 VPN 提供商 Mullvad 的 400 多台服务器提供支持,这些服务器分布在 30 多个国家/地区。 使用 WireGuard 协议连接到 VPN 服务。
此次审核由 Cure53 执行,该公司曾审核过 NTPsec、SecureDrop、Cryptocat、F-Droid 和 Dovecot 项目。 审计涵盖了源代码的验证,并包括识别可能漏洞的测试(未考虑与密码学相关的问题)。 审计发现了 16 个安全问题,其中 8 个为建议,5 个为低级,XNUMX 个为中级,XNUMX 个为高级。
同时,只有一个中等严重级别的问题被归类为漏洞,因为它是唯一可利用的问题。 此问题通过在 VPN 隧道外部发送未加密的直接 HTTP 请求并泄露用户的主要 IP 地址,以防攻击者可以控制传输流量,从而在强制门户检测代码中泄露了 VPN 使用信息。 通过在设置中禁用强制网络门户检测模式可以解决该问题。
中等严重级别的第二个问题与端口号中的非数字值缺乏适当的清理有关,这允许通过将端口号替换为“”等字符串来泄漏 OAuth 身份验证参数[电子邮件保护]”,这将导致标签被设置[电子邮件保护]/?code=...” alt=””> 指的是 example.com 而不是 127.0.0.1。
第三个问题被标记为危险,允许任何未经身份验证的本地应用程序通过绑定到本地主机的 WebSocket 访问 VPN 客户端。 作为示例,它展示了如何使用活动的 VPN 客户端,任何站点都可以通过生成 screen_capture 事件来组织屏幕截图的创建和发送。 该问题不属于漏洞,因为 WebSocket 仅在内部测试版本中使用,并且仅计划在将来使用此通信通道来组织与浏览器插件的交互。
来源: opennet.ru