Mozilla VPN kon WireGuard-encryptiesleutel en ip-adres gebruikers lekken
Door verschillende kwetsbaarheden in Mozilla VPN kon het ip-adres van gebruikers lekken alsmede de WireGuard-encryptiesleutel gebruikt voor de versleuteling, zo ontdekten onderzoekers van securitybedrijf Cure53 die Mozillas vpn-dienst onderzochten (pdf). De problemen zijn inmiddels verholpen. De onderzoekers vonden in totaal zeven kwetsbaarheden, waarvan er één als kritiek werd aangemerkt.
Het gaat om een probleem dat zich voordeed met de Mozilla VPN-app voor iOS. De WireGuard-configuratie, inclusief encryptiesleutel, werd op zo'n manier in de iOS Keychain opgeslagen dat die onderdeel van in iCloud opgeslagen back-ups werd. Deze back-ups zijn versleuteld, maar niet end-to-end versleuteld. "De secret key voor de Keychain met de WireGuard private key zal altijd toegankelijk voor Apple zijn, en kan zo door opsporingsdiensten worden gevorderd", aldus de onderzoekers.
Een andere kwetsbaarheid met een 'high' impact maakte het mogelijk voor malafide extensies in de browser van de gebruiker om de vpn-verbinding uit te schakelen. De impact van de overige vijf beveiligingslekken werd als 'medium' beoordeeld. Het ging onder andere om een probleem waardoor het ip-adres van gebruikers kon lekken via de captive portal detectie. Hierbij werd een onversleuteld HTTP request buiten de vpn-tunnel om gestuurd. In het rapport krijgt Mozilla het advies om meer tijd en middelen te investeren in het analyseren van alle mogelijke aanvalsvectoren.
Ik geloof dat Mozilla die VPN gebruikt
Laten ze DDG donaties eens hieraan besteden, namelijk het mitigeren van zulke basale aanvalsvectoren.
Dus wel degelijk blijvend gevaar bij niet volledig uitfaseren van HTTP -
(bijv. bitcoin adressen via HTTP-verkeer laten lopen).
Lees er hier over: https://www.securityweek.com/malicious-actor-controlled-23-tor-exit-nodes/
Trouwens Tor verloor 1/3 van haar staf vanwege de covid-19 crisis met een flinke impact op security.
Hebben ze die achterstand al weer weten te compenseren? Of zetten ze AI in op termijn?
luntrus
Ik geloof dat Mozilla die VPN gebruikt
Onwaarschijnlijk, dit gaat over de client. Niet om de servers.
Tuurlijk zijn dat problemen maar dit op deze manier koppen heeft wel een wat hoog telegraaf gehalte.
Tuurlijk zijn dat problemen maar dit op deze manier koppen heeft wel een wat hoog telegraaf gehalte.
In alle software zitten vouten, inclusief die van apple, microsoft en linux ;-)
Tuurlijk zijn dat problemen maar dit op deze manier koppen heeft wel een wat hoog telegraaf gehalte.
Hoogste tijd om infrastructureel eens in te gaan zetten op het handhaven van zogeheten "best practices".
Security Headers en Autocomplete Settings.
Alleen het volgen van best practices betekent helemaal veilig.
Weet je niet wat er schort aan menige website, wat dat betreft?
Scan dan eens met Recx Security Analyser v.1.3.0.4. extensie in je browser of choice.
Flink geschrokken van de scan-uitkomst(en)?
Dan was de plaatsing van deze kop en dit artikel door de redactie wel degelijk zeer terecht.
Hulde voor hun voortdurende beveiligingsnieuws.
Het houdt ons allen veilig (veiliger) en zet aan tot reflectie over e.e.a.
luntrus
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.