Η Mozilla ανακοίνωσε την Τρίτη ότι δημοσιοποίησε μια έκθεση με τα αποτελέσματα ενός ανεξάρτητου ελέγχου ασφαλείας στο Mozilla VPN.
Το Mozilla VPN ξεκίνησε επίσημα τον Ιούλιο του 2020, και διατίθεται ως addon στον Firefox. Προς το παρόν είναι διαθέσιμο σε 13 χώρες στον κόσμο. Η Mozilla προσέλαβε την εταιρεία Cure53 με έδρα τη Γερμανία για να αναλύσει τις εφαρμογές Mozilla VPN για Windows, Linux, macOS, iOS και Android και αυτή την εβδομάδα δημοσιοποίησε τα αποτελέσματα του ελέγχου.
Η ανάλυση που πραγματοποιήθηκε από την εταιρεία οδήγησε στην ανακάλυψη μιας ευπάθειας και 15 «διαφόρων ζητημάτων» που θα μπορούσαν να χρησιμοποιηθούν από επιτιθεμένους. Η ευπάθεια, ταξινομημένη ως μέτριας σοβαρότητας, θα μπορούσε να οδηγήσει σε deanonymization (απο-ανωνυμοποίηση) χρηστών υπό ορισμένες προϋποθέσεις (ένας επιτιθέμενος πρέπει να είναι σε θέση να παρακολουθεί παθητικά την κίνηση του δικτύου, κάτι που συνήθως μπορούν να επιτύχουν μόνο φορείς απειλής που συνδέονται με κρατικές οντότητες).
Το ελάττωμα σχετίζεται με έναν μηχανισμό captive portal detection και η Mozilla έχει ανακοινώσει ότι δεν θα το επιδιορθώσει καθώς τα οφέλη του χρήστη υπερτερούν του κινδύνου ασφαλείας.
Από τα διάφορα θέματα, ένα έχει ταξινομηθεί ως υψηλής σοβαρότητας και ένα ως μεσαίας σοβαρότητας, με τα υπόλοιπα προβλήματα να έχουν χαμηλή σοβαρότητα ή να είναι ενημερωτικά.
Το ζήτημα μεγάλης σοβαρότητας σχετίζεται με το ότι ο VPN client εκθέτει WebSocket interface στο localhost όταν είναι σε debug mode. Ένας εισβολέας θα μπορούσε να το χρησιμοποιήσει για να κλέψει πληροφορίες από τον χρήστη, κάνοντάς τον να επισκεφθεί έναν κακόβουλο ιστότοπο. Ωστόσο, οι πελάτες δεν επηρεάστηκαν καθώς η συγκεριμένη διεπαφή WebSocket χρησιμοποιήθηκε μόνο σε δοκιμαστικές εκδόσεις πριν από την κυκλοφορία.
Η Mozilla αντιμετώπισε την πλειοψηφία των προβλημάτων τον Ιούλιο και το Cure53 επιβεβαίωσε τον Αύγουστο ότι τα ζητήματα δεν υπάρχουν πλέον.
Αυτός ήταν ο δεύτερος έλεγχος από το Cure53. Ο πρώτος, που πραγματοποιήθηκε τον Αύγουστο του 2020, οδήγησε στην ανακάλυψη ενός σφάλματος που χαρακτηρίστηκε ως κρίσιμο.
Το Cure53 έχει ελέγξει αρκετά μεγάλα έργα τα τελευταία χρόνια, συμπεριλαμβανομένων των cURL, Dovecot, Network Time Protocol (NTP), TunnelBear και Firefox Accounts.
