IT-Sicherheitsexperten haben Mozillas VPN-Dienst untersucht. Unter 16 entdeckten Problemen fanden sie eine ausnutzbare Schwachstelle.
Der VPN-Dienst des Browserherstellers Mozilla ist seit April 2021 auch in Deutschland verfügbar. Nun veröffentlichte Mozilla die Ergebnisse eines Sicherheitsaudits, das von dem Berliner Pentesting-Unternehmen Cure53 durchgeführt wurde.
Laut dem Bericht fanden die IT-Sicherheitsforscher 16 sicherheitsrelevante Probleme bei Mozilla VPN, von denen sie jedoch nur eine als Schwachstelle bezeichnen. "Die übrigen fünfzehn Probleme sollte man als eine Sammlung allgemeiner Schwächen mit geringerem Ausnutzungspotenzial betrachten", heißt es in dem Bericht. Laut Cure53 hat sich das Sicherheitsniveau im Vergleich zu einem früheren Audit im Sommer 2020 deutlich erhöht.
Bei der im Audit entdeckten Schwachstelle geht es darum, dass das Mozilla VPN unverschlüsselte HTTP-Requests an bestimmte IP-Adressen außerhalb des Tunnels erlaubt. Dazu müsse die Captive-Portal-Erkennung aktiviert sein. Bei Captive Portals handelt es sich etwa um Vorschaltseiten, die bei WLANs zum Einsatz kommen und die HTTP-Zugriffe auf eine definierte Webseite weiterleiten. Ein Angreifer könnte über den Mechanismus unter Umständen Netzwerkverkehr mitschneiden und Nutzer deanonymisieren. Laut Cure53 wäre dazu jedoch ein "starkes, staatlich-finanziertes Angreifermodell" vorausgesetzt.
"Wir haben diese Feststellung akzeptiert, da die Vorteile der Captive-Portal-Erkennung für den Benutzer das Sicherheitsrisiko überwiegen", so Mozilla. Viele andere Anwendungen würden eine ähnliche Lösung nutzen. Cure53 empfiehlt, die Erkennung standardmäßig zu deaktivieren und mit einer Sicherheitswarnung zu versehen. Den Großteil der weiteren beobachteten Probleme hat Mozilla im Juli behoben.
https://ift.tt/38wngiQ
Wissenschaft & Technik
Bagikan Berita Ini
0 Response to "IT-Sicherheit: Ergebnisse des Mozilla-VPN-Audits veröffentlicht - Golem.de - Golem.de"
Post a Comment