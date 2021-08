Een security-audit van Mozillas vpn-software heeft verschillende beveiligingsproblemen opgeleverd, waaronder een kwetsbaarheid waarvan de impact als 'high' werd bestempeld. Mozilla biedt in verschillende landen een vpn-dienst en liet de vpn-apps om met de vpn-servers verbinding te maken eerder dit jaar door securitybedrijf Cure53 onderzoeken. Het auditrapport is vandaag openbaar gemaakt (pdf).

In totaal ontdekten de onderzoekers zestien problemen met de vpn-software. In de meeste gevallen gaat het om kwetsbaarheden waarvan de impact het label "low" krijgt. Twee problemen zijn echter als medium beoordeeld en één beveiligingslek zelfs als high. De software die Cure53 voor het onderzoek ontving had een WebSocket-endpoint op localhost blootgesteld, dat zonder authenticatie was te gebruiken. Hierdoor zou elke website met de vpn-software op het systeem van de gebruiker verbinding kunnen maken.

Mozilla liet de onderzoekers weten dat de WebSocket-server alleen onderdeel van de aangeboden softwareversie was, maar later bleek dat Mozilla de verbinding wil gebruiken om met een browser-extensie te kunnen communiceren. Mozilla meldt op de eigen website dat de WebSocket-interface alleen voor het testen is gebruikt en geen probleem voor klanten is geweest.

Het eerste medium-probleem dat de onderzoekers ontdekten is dat Mozilla VPN het toestaat dat onversleutelde http-requests buiten de vpn-tunnel om naar specifieke ip-adressen worden gestuurd. Dit vergroot het risico om gebruikers te identificeren, aldus de onderzoekers. Die stellen wel dat dit probleem zich echter alleen in bepaalde gevallen voordoet. Door het tweede medium-probleem zou de autorisatiecode van de gebruiker naar een website van de aanvaller kunnen lekken als de gebruiker een speciaal geprepareerde url zou openen. Mozilla heeft dit probleem verholpen.

Mozillas vpn-dienst is door Mozilla zelf ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. Wanneer de dienst in Nederland beschikbaar komt is nog onbekend.