Mozilla VPN kon WireGuard-encryptiesleutel en ip-adres gebruikers lekken

[Captain Kirk]

Door verschillende kwetsbaarheden in Mozilla VPN kon het ip-adres van gebruikers lekken alsmede de WireGuard-encryptiesleutel gebruikt voor de versleuteling, zo ontdekten onderzoekers van securitybedrijf Cure53 die Mozillas vpn-dienst onderzochten (pdf). De problemen zijn inmiddels verholpen. De onderzoekers vonden in totaal zeven kwetsbaarheden, waarvan er één als kritiek werd aangemerkt.

Het gaat om een probleem dat zich voordeed met de Mozilla VPN-app voor iOS. De WireGuard-configuratie, inclusief encryptiesleutel, werd op zo'n manier in de iOS Keychain opgeslagen dat die onderdeel van in iCloud opgeslagen back-ups werd. Deze back-ups zijn versleuteld, maar niet end-to-end versleuteld. "De secret key voor de Keychain met de WireGuard private key zal altijd toegankelijk voor Apple zijn, en kan zo door opsporingsdiensten worden gevorderd", aldus de onderzoekers.

Een andere kwetsbaarheid met een 'high' impact maakte het mogelijk voor malafide extensies in de browser van de gebruiker om de vpn-verbinding uit te schakelen. De impact van de overige vijf beveiligingslekken werd als 'medium' beoordeeld. Het ging onder andere om een probleem waardoor het ip-adres van gebruikers kon lekken via de captive portal detectie. Hierbij werd een onversleuteld HTTP request buiten de vpn-tunnel om gestuurd. In het rapport krijgt Mozilla het advies om meer tijd en middelen te investeren in het analyseren van alle mogelijke aanvalsvectoren.

 

bron: https://www.security.nl