Mozilla 宣布完成連接 Mozilla VPN 服務的用戶端軟體的獨立審核。 審計包括對使用 Qt 庫編寫的獨立客戶端應用程式進行分析,該應用程式可用於 Linux、macOS、Windows、Android 和 iOS。 Mozilla VPN 由瑞典 VPN 提供者 Mullvad 的 400 多台伺服器提供支持,這些伺服器分佈在 30 多個國家/地區。 使用 WireGuard 協定連接到 VPN 服務。
此次審計由 Cure53 進行,該公司曾審計過 NTPsec、SecureDrop、Cryptocat、F-Droid 和 Dovecot 專案。 審計涵蓋了原始程式碼的驗證,並包括識別可能漏洞的測試(未考慮與密碼學相關的問題)。 審計期間,共發現16個安全問題,其中8個為建議,5個為低危險級別,XNUMX個為中危險級別,XNUMX個為高危險級別。
但是,只有一個中等嚴重程度的問題被歸類為漏洞,因為它是唯一可利用的問題。 由於在 VPN 隧道外部發送未加密的直接 HTTP 請求,此問題導致強制門戶偵測程式碼中的 VPN 使用資訊洩露,如果攻擊者可以控制傳輸流量,則會洩露使用者的主要 IP 位址。 透過在設定中停用強制網路入口網站偵測模式可以解決此問題。
第二個中等嚴重性的問題與連接埠號碼中的非數字值缺乏適當的清理有關,這使得透過將連接埠號碼替換為“[電子郵件保護]”,這將導致標籤的安裝[電子郵件保護]/?code=..." alt=""> 訪問 example.com 而不是 127.0.0.1。
第三個問題被標記為危險,允許任何未經身份驗證的本機應用程式透過綁定到本機的 WebSocket 存取 VPN 用戶端。 作為範例,它展示瞭如何使用活動的 VPN 用戶端,任何網站都可以透過產生 screen_capture 事件來組織螢幕截圖的建立和發送。 該問題不屬於漏洞,因為 WebSocket 僅在內部測試版本中使用,並且僅計劃在將來使用此通訊通道來組織與瀏覽器插件的互動。
來源: opennet.ru