Аудит безопасности обнаружил недостатки в Mozilla VPN
9 декабря 2023 г.Берлинская фирма по кибербезопасности Cure53 обнаружила некоторые недостатки безопасности в приложениях Mozilla VPN во время своего последнего аудита безопасности.
После проверки всех клиентов Mozilla было обнаружено в общей сложности семь уязвимостей безопасности, две из которых были признаны критическими или высокоприоритетными. служба VPN теперь гарантирует, что все потенциальные риски уже устранены.
Независимые аудиты все чаще становятся регулярной практикой среди VPN компаний, которые ценят прозрачность и безопасность. Это уже третий раз, когда Mozilla доверяет Cure53 выполнение такой задачи, и это связано с тем, что провайдер запустил новые функции, включая новую систему блокировки вредоносных программ.
Смешанные результаты Mozilla
Команда из пяти старших тестировщиков Cure53 провела серию тестов на проникновение и проверок программного обеспечения в течение мая 2023 года общей продолжительностью 21 рабочий день. Для тестирования инфраструктуры безопасности и надежности кода для всех приложений Mozilla, а именно MacOS, Linux, Windows, iOS и VPN для Android.
Семь недостатков безопасности, две с высоким и пять со средним приоритетом, "внесли свой вклад в весьма смешанное общее впечатление, полученное от устойчивость безопасности клиентских приложений Mozilla VPN», отчет. читается.
Если структура кода была сочтена «надежно составленной» и не содержала ошибок, связанных с повреждением памяти, эксперты обнаружили, что некоторые функции VPN потенциально могут подвергать пользователей опасности; данные.
Наиболее серьезная уязвимость затронула приложение Mozilla VPN для iOS. Тесты показали, что конфигурация WireGuard, хранящаяся в связке ключей iOS, попала в iCloud через резервные копии устройства, если пользователи этого не сделали. ;t явно не включайте расширенное шифрование данных. Mozilla заявила, что Cure53 подтвердила, что этот риск устранен путем добавления дополнительного уровня шифрования.
Еще одна уязвимость с высоким приоритетом была обнаружена на настольных компьютерах, поскольку приложение mozillavpnp недостаточно ограничивало вызывающее приложение, что потенциально позволяет вредоносному дополнению взаимодействовать с VPN и, возможно, даже отключать VPN-соединение без ведома пользователя. Опять же, Mozilla заверила, что устранила этот риск в соответствии с рекомендациями Cure53.
Как уже упоминалось, Mozilla, как сообщается, исправила все остальные уязвимости среднего и низкого уровня в соответствии с рекомендациями Cure53. Аналогичным образом, последний аудит безопасности, проведенный в 2021 году, выявил серьезные проблемы в Mozilla VPN< /a>, которые были исправлены за период аудита.
В качестве более позитивного момента Cure53 также похвалил некоторые функции Mozilla, такие как раздельное туннелирование и многопереходные соединения, которые основаны на устоявшихся технологиях, таких как Mullvad библиотеки и драйверы. «Тот факт, что они были интегрированы с нуля, сводит к минимуму вероятность появления слабых мест, без каких-либо заметных проблем, о которых можно было бы сообщить в течение установленного графика оценки», — пишут эксперты.
Mozilla, как сообщается, решила вызвать третьего- снова сторонняя аудиторская фирма, прежде чем выпустить некоторые новые функции. К ним относятся программное обеспечение для блокировки вредоносного ПО, выпущенное в августе, а также улучшения производительности, такие как рекомендации по местоположению серверов, которые были интегрированы в его приложения в июне.
Провайдер также расширил свою сеть серверов еще на 16 европейских стран, включая Данию, Венгрию, Португалию и другие.
Оригинал