Mozilla oferece transparência publicando auditoria VPN

22

Sem fins lucrativos revela resultados mais favoráveis do que os descobertos por revisão semelhante no ano passado

A Mozilla publicou os resultados de uma auditoria independente de sua tecnologia de rede virtual privada (VPN).

A iniciativa – parte dos esforços do desenvolvedor do Firefox para oferecer maior transparência em seus planos para melhorar a segurança e a privacidade dos usuários – foi conduzida pela empresa alemã de segurança Cure53.

A auditoria envolveu uma combinação de revisões de código fonte e um teste de penetração, adotando uma abordagem de “caixa branca” para auditoria de segurança. Uma equipe de sete da Cure53 realizou a auditoria durante um período combinado de 25 dias.

A revisão é a segunda sobre a tecnologia da Mozilla pela Cure53. A primeira auditoria aconteceu em agosto de 2020 e gerou vários problemas, incluindo um bug de gravidade crítica. “Muito trabalho de desenvolvimento foi feito desde então”, concluiu Cure53.

A Mozilla disse ao Digme: “Fizemos uma parceria com a Cure53 em 2020 para realizar uma auditoria da primeira iteração da Mozilla VPN. No entanto, logo após essa auditoria, passamos por uma reartura completa para tornar a Mozilla VPN mais multiplataforma utilizando a estrutura Qt em vez de gerenciar por bases de código de plataforma. Fizemos uma assessoria pública resultante desse relatório, que pode ser encontrado aqui.”.

O que tem na caixa?

O exercício deste ano levou à descoberta de um raro exemplo de uma vulnerabilidade de sequestro de soquete cross-site.

A falha de alta gravidade fez com que o cliente da Mozilla VPN, quando colocado no modo de depuração, “exponha uma interface WebSocket ao localhost para acionar eventos e recuperar logs”. Como a interface WebSocket só funciona em compilações de teste de pré-lançamento do software, os clientes não foram impactados pelo problema.

A minuciosa auditoria do código da Mozilla em todas as plataformas suportadas (macOS, Linux, Windows, iOS e Android) também descobriu duas falhas de gravidade média nas compilações tradicionais do software.

Nos casos em que o mecanismo de detecção de portal cativo foi ativado, o cliente VPN da Mozilla permite o envio de solicitações HTTP não criptografadas fora do túnel criptografado para certos endereços IP.

Publicações Relacionadas

Embora disciplinadores rigorosos classificassem esse comportamento como uma falha de risco médio, a mesma abordagem é usada em toda a indústria pelo Firefox, Chrome e pelo gerente de rede do macOS entre outros aplicativos.

O algoritmo de detecção de portal cativo requer um ponto final de confiança HTTP de texto simples para funcionar, com a detecção de portais cativo oferecendo benefícios aos usuários que, sem dúvida, excedem os riscos de segurança.

Onde é @

Outro problema descoberto pela auditoria é mais adequado à descrição de uma ameaça de risco médio.

Essa falha significa que um código de autenticação pode ser vazado por causa de falhas no fluxo de autenticação na tecnologia da Mozilla.

Quando um usuário deseja fazer login na Mozilla VPN, o cliente VPN faz uma solicitação a um site da Mozilla para obter uma URL de autorização. O ponto final leva um parâmetro de porta que será refletido em um elemento <img>g após o usuário entrar na página da Web.

Auditores de segurança da Cure53 descobriram que o parâmetro portuário poderia ser de valor arbitrário.

“Além disso, foi possível injetar o sinal @, de modo que a solicitação irá para um host arbitrário em vez de localhost (a rigorosa Política de Segurança de Conteúdo do site impediu que tais solicitações fossem enviadas)”, de acordo com o Cure53.

A Mozilla resolveu o problema melhorando a análise do número de portas no componente REST API do software.

Um resumo sobre as principais falhas identificadas durante a auditoria pode ser encontrado aqui. Uma cópia de um relatório mais abrangente listando falhas de impacto mais baixas descobertas durante a revisão está aqui (PDF).

A Mozilla contou ao Digme sobre os objetivos amplos de suas auditorias, que vão além da avaliação da VPN do Firefox, realizada pela Cure53.

“Realizamos auditorias internas e externas de segurança para muitos de nossos produtos”, disse. “Os tipos de auditorias e sua frequência são algo que equilibramos por produto e seguimos um modelo baseado em risco.”

“Nosso amplo objetivo com essas auditorias é funcionar como uma visão forte e independente para complementar nosso programa de segurança interna e nosso programa público de recompensa por bugs”, acrescentou o desenvolvedor do Firefox.

você pode gostar também