image

Mozilla VPN kon WireGuard-encryptiesleutel en ip-adres gebruikers lekken

donderdag 7 december 2023, 11:16 door Redactie, 7 reacties

Door verschillende kwetsbaarheden in Mozilla VPN kon het ip-adres van gebruikers lekken alsmede de WireGuard-encryptiesleutel gebruikt voor de versleuteling, zo ontdekten onderzoekers van securitybedrijf Cure53 die Mozillas vpn-dienst onderzochten (pdf). De problemen zijn inmiddels verholpen. De onderzoekers vonden in totaal zeven kwetsbaarheden, waarvan er één als kritiek werd aangemerkt.

Het gaat om een probleem dat zich voordeed met de Mozilla VPN-app voor iOS. De WireGuard-configuratie, inclusief encryptiesleutel, werd op zo'n manier in de iOS Keychain opgeslagen dat die onderdeel van in iCloud opgeslagen back-ups werd. Deze back-ups zijn versleuteld, maar niet end-to-end versleuteld. "De secret key voor de Keychain met de WireGuard private key zal altijd toegankelijk voor Apple zijn, en kan zo door opsporingsdiensten worden gevorderd", aldus de onderzoekers.

Een andere kwetsbaarheid met een 'high' impact maakte het mogelijk voor malafide extensies in de browser van de gebruiker om de vpn-verbinding uit te schakelen. De impact van de overige vijf beveiligingslekken werd als 'medium' beoordeeld. Het ging onder andere om een probleem waardoor het ip-adres van gebruikers kon lekken via de captive portal detectie. Hierbij werd een onversleuteld HTTP request buiten de vpn-tunnel om gestuurd. In het rapport krijgt Mozilla het advies om meer tijd en middelen te investeren in het analyseren van alle mogelijke aanvalsvectoren.

Reacties (7)
07-12-2023, 11:27 door Anoniem
Is Mullvad ook kwetsbaar?
Ik geloof dat Mozilla die VPN gebruikt
07-12-2023, 12:42 door Anoniem
Hoe staat het met Tor in dit opzicht? (buiten de speciale onion websites om dan)

Laten ze DDG donaties eens hieraan besteden, namelijk het mitigeren van zulke basale aanvalsvectoren.

Dus wel degelijk blijvend gevaar bij niet volledig uitfaseren van HTTP -
(bijv. bitcoin adressen via HTTP-verkeer laten lopen).

Lees er hier over: https://www.securityweek.com/malicious-actor-controlled-23-tor-exit-nodes/

Trouwens Tor verloor 1/3 van haar staf vanwege de covid-19 crisis met een flinke impact op security.

Hebben ze die achterstand al weer weten te compenseren? Of zetten ze AI in op termijn?

luntrus
07-12-2023, 14:13 door Anoniem
Door Anoniem: Is Mullvad ook kwetsbaar?
Ik geloof dat Mozilla die VPN gebruikt

Onwaarschijnlijk, dit gaat over de client. Niet om de servers.
07-12-2023, 14:52 door Anoniem
Wel een klein beetje overdreven dit hoor.
Tuurlijk zijn dat problemen maar dit op deze manier koppen heeft wel een wat hoog telegraaf gehalte.
07-12-2023, 16:14 door Anoniem
Door Anoniem: Wel een klein beetje overdreven dit hoor.
Tuurlijk zijn dat problemen maar dit op deze manier koppen heeft wel een wat hoog telegraaf gehalte.
Ach, iemand met een apple die zich aangesproken voelt...

In alle software zitten vouten, inclusief die van apple, microsoft en linux ;-)
07-12-2023, 16:19 door Anoniem
Door Anoniem: Wel een klein beetje overdreven dit hoor.
Tuurlijk zijn dat problemen maar dit op deze manier koppen heeft wel een wat hoog telegraaf gehalte.
Dan moet je ook niet zo vaak de Telegraaf lezen.
07-12-2023, 18:20 door Anoniem
Ik neem het in deze hier op voor de redactie van security dot nl.

Hoogste tijd om infrastructureel eens in te gaan zetten op het handhaven van zogeheten "best practices".
Security Headers en Autocomplete Settings.
Alleen het volgen van best practices betekent helemaal veilig.

Weet je niet wat er schort aan menige website, wat dat betreft?
Scan dan eens met Recx Security Analyser v.1.3.0.4. extensie in je browser of choice.

Flink geschrokken van de scan-uitkomst(en)?

Dan was de plaatsing van deze kop en dit artikel door de redactie wel degelijk zeer terecht.

Hulde voor hun voortdurende beveiligingsnieuws.

Het houdt ons allen veilig (veiliger) en zet aan tot reflectie over e.e.a.

luntrus
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.