Güvenlik denetimi Mozilla VPN’de açıklar buldu

Berlin merkezli siber güvenlik firması Cure53, son güvenlik denetimi sırasında Mozilla VPN uygulamalarında bazı güvenlik açıkları buldu.

Mozilla’nın tüm istemcileri incelendikten sonra toplam yedi güvenlik açığı keşfedildi ve bunlardan ikisi kritik veya yüksek öncelikli olarak kabul edildi. VPN hizmeti artık tüm potansiyel riskleri ele almış olduğunu garanti ediyor.

Bağımsız denetimler, şeffaflık ve güvenliğe önem veren VPN şirketleri arasında giderek daha düzenli bir uygulama haline geldi. Bu, Mozilla’nın Cure53’e bu tür bir görevle üçüncü kez güvenmesi ve sağlayıcının yeni bir kötü amaçlı yazılım engelleme sistemi de dahil olmak üzere yeni özellikler başlatmasıyla birlikte geldi.

Mozilla’nın karışık sonuçları
Cure53’teki beş kıdemli test uzmanından oluşan bir ekip, Mayıs 2023 boyunca toplam 21 iş günü boyunca bir dizi sızma testi ve yazılım incelemesi gerçekleştirdi. MacOS, Linux, Windows, iOS ve Android VPN uygulaması olmak üzere tüm Mozilla uygulamalarının güvenlik altyapısını ve kod sağlamlığını test etmek için beyaz kutu yaklaşımı kullanılmıştır.
Rapora göre, ikisi yüksek ve beşi orta öncelikli olmak üzere yedi güvenlik açığı, “Mozilla VPN istemci uygulamalarının güvenlik esnekliği konusunda elde edilen genel izlenimin karışık olmasına katkıda bulundu.”

Kod yapısı “sağlam bir şekilde oluşturulmuş” ve bellek bozulması hatalarından arındırılmış olarak kabul edilse de, uzmanlar bazı VPN özelliklerinin kullanıcıların verilerini açığa çıkarma potansiyeline sahip olduğunu tespit etti.

En kritik güvenlik açığı Mozilla VPN iOS uygulamasını etkiledi. Testler, iOS Anahtar Zincirinde saklanan WireGuard yapılandırmasının, kullanıcılar Gelişmiş Veri Şifrelemesini açıkça seçmezlerse cihaz yedeklemeleri yoluyla iCloud’a sızdırıldığını gösterdi. Mozilla, Cure53’ün bu riskin ekstra bir şifreleme katmanı eklenerek ele alındığını doğruladığını iddia etti.

Bir diğer yüksek öncelikli açık ise masaüstünde bulundu çünkü mozillavpnp uygulaması, uygulamayı arayan kişiyi yeterince kısıtlamıyordu ve bu da kötü niyetli bir eklentinin VPN ile etkileşime girmesine ve hatta muhtemelen kullanıcının haberi olmadan VPN bağlantısını devre dışı bırakmasına izin veriyordu. Yine Mozilla, Cure53 tarafından önerildiği gibi bu riski ele aldığını garanti etmiştir.

Belirtildiği gibi, Mozilla’nın Cure53 tarafından önerilen diğer tüm orta ve düşük güvenlik açıklarını düzelttiği bildirildi. Benzer şekilde, 2021 yılında yapılan son güvenlik denetiminde Mozilla VPN’de önemli sorunlar tespit edilmiş ve bunların tümü denetim döneminde düzeltilmişti.

Daha olumlu bir not olarak Cure53, Mullvad kütüphaneleri ve sürücüleri gibi yerleşik teknolojiye dayanan bölünmüş tünelleme ve çok atlamalı bağlantılar gibi bazı Mozilla özelliklerini de övdü. Uzmanlar, “Bunların sıfırdan entegre edilmiş olması, ortaya çıkan zayıflıkların olasılığını en aza indiriyor ve tahsis edilen değerlendirme programı sırasında raporlanacak kayda değer bir endişe yok” diye yazdı.

Mozilla, bazı yeni özellikleri yayınlamadan önce üçüncü taraf denetim firmasını tekrar çağırmaya karar verdiğini söyledi. Bunlar arasında Ağustos ayında piyasaya sürülen bir kötü amaçlı yazılım engelleme yazılımının yanı sıra Haziran ayında uygulamalarına entegre edilen sunucu konumu önerileri gibi performans iyileştirmeleri de yer alıyor.

 

Daha fazla haber için;

Microsoft’un yeni bir güvenlik şefi var