Mozilla宣布已完成連接Mozilla VPN服務的客戶端軟體的獨立審計。此次審計包括對使用Qt庫編寫並提供的獨立客戶端應用程式的分析。 Linux, macOS, Windows, Android 以及 iOS。 Mozilla VPN 使用來自瑞典 VPN 供應商 Mullvad 的 400 多台伺服器,這些伺服器遍布 30 多個國家。正在連接到 VPN該服務使用以下協定執行 WireGuard.
此次審計由 Cure53 進行,該公司曾審計過 NTPsec、SecureDrop、Cryptocat、F-Droid 和 Dovecot 專案。 審計涵蓋了原始程式碼的驗證,並包括識別可能漏洞的測試(未考慮與密碼學相關的問題)。 審計期間,共發現16個安全問題,其中8個為建議,5個為低危險級別,XNUMX個為中危險級別,XNUMX個為高危險級別。
但是,只有一個中等嚴重程度的問題被歸類為漏洞,因為它是唯一可利用的問題。 由於在 VPN 隧道外部發送未加密的直接 HTTP 請求,此問題導致強制門戶偵測程式碼中的 VPN 使用資訊洩露,如果攻擊者可以控制傳輸流量,則會洩露使用者的主要 IP 位址。 透過在設定中停用強制網路入口網站偵測模式可以解決此問題。
第二個中級問題與連接埠號碼中非數字值的清理不當有關,這會導致 OAuth 身份驗證參數洩露,只需將連接埠號碼替換為「1234@example.com」之類的字串即可,從而導致安裝標籤,請造訪 example.com 而不是 127.0.0.1。
第三個問題被標記為危險,允許任何未經身份驗證的本機應用程式透過綁定到本機的 WebSocket 存取 VPN 用戶端。 作為範例,它展示瞭如何使用活動的 VPN 用戶端,任何網站都可以透過產生 screen_capture 事件來組織螢幕截圖的建立和發送。 該問題不屬於漏洞,因為 WebSocket 僅在內部測試版本中使用,並且僅計劃在將來使用此通訊通道來組織與瀏覽器插件的互動。
來源: opennet.ru
