在 Librem One 服務中,旨在在智慧型手機上使用 ,緊接著 浮出水面 其安全性使該專案名聲掃地,該專案被吹捧為安全隱私平台。 該漏洞是在 Librem 聊天服務中發現的,使得在不知道身份驗證參數的情況下以任何用戶身份進入聊天成為可能。
在使用的後端程式碼中,允許透過 LDAP (matrix-appservice-ldap3) 對 Matrix 網路進行授權 ,結果被轉移到 Librem One 工作服務的代碼中。 指定了“result = yield self._ldap_simple_bind”,而不是“result, _ = yield self._ldap_simple_bind”,這允許任何未經授權的使用者使用任何識別碼進入聊天。 Matrix專案的開發者犯了一個錯誤 該問題僅出現在主分支「matrix-appservice-ldap3」中,而不是在版本中出現,但儲存庫中存在有問題的行 自 2016 年以來(也許操作該問題的條件是在最近的一些其他變化之後才出現的)。
新推出的 Librem One 服務集需要付費訂閱(每月 7.99 美元或每年 71.91 美元),但行動用戶端和伺服器處理器是基於現有的開放項目,這些項目是 以 Librem 品牌進行分銷。 例如,Librem Chat 是一個重新命名的 Matrix 用戶端 Librem Social 是基於 , Librem Mail 更名為 ,Librem隧道借用自 。 伺服器元件基於
Postfix 和 Librem Mail 的 Dovecot, 用於 Librem 聊天和 對於 Librem 社會。 以其他名稱提供應用程式的原因是希望在一個可識別的品牌下收集基於開放標準(Matrix、ActivityPub、IMAP)的各種去中心化服務。
來源: opennet.ru