Mozilla VPN kon WireGuard-encryptiesleutel en ip-adres gebruikers lekken
Door verschillende kwetsbaarheden in Mozilla VPN kon het ip-adres van gebruikers lekken alsmede de WireGuard-encryptiesleutel gebruikt voor de versleuteling, zo ontdekten onderzoekers van securitybedrijf Cure53 die Mozillas vpn-dienst onderzochten (pdf). De problemen zijn inmiddels verholpen. De onderzoekers vonden in totaal zeven kwetsbaarheden, waarvan er één als kritiek werd aangemerkt.
Het gaat om een probleem dat zich voordeed met de Mozilla VPN-app voor iOS. De WireGuard-configuratie, inclusief encryptiesleutel, werd op zo'n manier in de iOS Keychain opgeslagen dat die onderdeel van in iCloud opgeslagen back-ups werd. Deze back-ups zijn versleuteld, maar niet end-to-end versleuteld. "De secret key voor de Keychain met de WireGuard private key zal altijd toegankelijk voor Apple zijn, en kan zo door opsporingsdiensten worden gevorderd", aldus de onderzoekers.
Een andere kwetsbaarheid met een 'high' impact maakte het mogelijk voor malafide extensies in de browser van de gebruiker om de vpn-verbinding uit te schakelen. De impact van de overige vijf beveiligingslekken werd als 'medium' beoordeeld. Het ging onder andere om een probleem waardoor het ip-adres van gebruikers kon lekken via de captive portal detectie. Hierbij werd een onversleuteld HTTP request buiten de vpn-tunnel om gestuurd. In het rapport krijgt Mozilla het advies om meer tijd en middelen te investeren in het analyseren van alle mogelijke aanvalsvectoren.
Ik geloof dat Mozilla die VPN gebruikt
Laten ze DDG donaties eens hieraan besteden, namelijk het mitigeren van zulke basale aanvalsvectoren.
Dus wel degelijk blijvend gevaar bij niet volledig uitfaseren van HTTP -
(bijv. bitcoin adressen via HTTP-verkeer laten lopen).
Lees er hier over: https://www.securityweek.com/malicious-actor-controlled-23-tor-exit-nodes/
Trouwens Tor verloor 1/3 van haar staf vanwege de covid-19 crisis met een flinke impact op security.
Hebben ze die achterstand al weer weten te compenseren? Of zetten ze AI in op termijn?
luntrus
Ik geloof dat Mozilla die VPN gebruikt
Onwaarschijnlijk, dit gaat over de client. Niet om de servers.
Tuurlijk zijn dat problemen maar dit op deze manier koppen heeft wel een wat hoog telegraaf gehalte.
Tuurlijk zijn dat problemen maar dit op deze manier koppen heeft wel een wat hoog telegraaf gehalte.
In alle software zitten vouten, inclusief die van apple, microsoft en linux ;-)
Tuurlijk zijn dat problemen maar dit op deze manier koppen heeft wel een wat hoog telegraaf gehalte.
Hoogste tijd om infrastructureel eens in te gaan zetten op het handhaven van zogeheten "best practices".
Security Headers en Autocomplete Settings.
Alleen het volgen van best practices betekent helemaal veilig.
Weet je niet wat er schort aan menige website, wat dat betreft?
Scan dan eens met Recx Security Analyser v.1.3.0.4. extensie in je browser of choice.
Flink geschrokken van de scan-uitkomst(en)?
Dan was de plaatsing van deze kop en dit artikel door de redactie wel degelijk zeer terecht.
Hulde voor hun voortdurende beveiligingsnieuws.
Het houdt ons allen veilig (veiliger) en zet aan tot reflectie over e.e.a.
luntrus
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
