Mozilla VPN安全审计2023
为了透明展示我们在保护用户网络隐私与安全方面的持续努力,我们发布了由Cure53于今年早些时候对Mozilla VPN进行的安全审计报告。
本次安全审计的范围包括以下产品:
- Mozilla VPN Qt6 macOS应用
- Mozilla VPN Qt6 Linux应用
- Mozilla VPN Qt6 Windows应用
- Mozilla VPN Qt6 iOS应用
- Mozilla VPN Qt6 Android应用
以下是审计中发现并被评级为中等或更高严重性的问题摘要:
FVP-03-003:通过序列化意图实现的拒绝服务(DoS)
受影响活动内通过意图接收的数据应进行验证,以防止Android应用向第三方应用暴露某些活动。存在恶意应用利用此弱点随时崩溃应用的风险。Mozilla已解决此风险,并由Cure53确认。
FVP-03-008:密钥链访问级别将WG私钥泄露至iCloud
Cure53确认,由于增加了额外的加密层,使用设备安全 enclave 的密钥专门保护密钥链,此风险已得到解决。
FVP-03-009:守护进程套接字缺乏访问控制
需要实施访问控制,以确保向守护进程发送命令的用户有权启动预期操作。Mozilla已解决此风险,并由Cure53确认。
FVP-03-010:通过强制门户检测导致的VPN泄漏
Cure53建议默认关闭强制门户检测功能,以防止在使用恶意设置的WiFi热点时发生IP泄漏的机会。Mozilla通过不再在VPN隧道外ping强制门户来解决此风险。
FVP-03-011:本地TCP服务器访问控制缺失
VPN客户端暴露了一个运行在端口8754上的本地TCP接口,该接口绑定到localhost。localhost上的用户可以向该端口发出请求并禁用VPN。Mozilla按照Cure53的建议解决了此风险。
FVP-03-012:恶意扩展可使用mozillavpnnp禁用VPN(高危)
mozillavpnnp未充分限制应用程序调用者。Mozilla按照Cure53的建议解决了此风险。
如果您想阅读Cure53的详细报告,包括所有低危和信息性项目,可以在此处查看。
标签:VPN