IT-Sicherheit: Ergebnisse des Mozilla-VPN-Audits veröffentlicht

IT-Sicherheitsexperten haben Mozillas VPN-Dienst untersucht. Unter 16 entdeckten Problemen fanden sie eine ausnutzbare Schwachstelle.

Artikel veröffentlicht am , Anna Biselli
Mozilla VPN gibt es für verschiedene Betriebssysteme.
Mozilla VPN gibt es für verschiedene Betriebssysteme. (Bild: Kaitlyn Baker/unsplash.com)

Der VPN-Dienst des Browserherstellers Mozilla ist seit April 2021 auch in Deutschland verfügbar. Nun veröffentlichte Mozilla die Ergebnisse eines Sicherheitsaudits, das von dem Berliner Pentesting-Unternehmen Cure53 durchgeführt wurde.

Stellenmarkt
  1. R&D Engineer RF Software (m/f/d)
    Advantest Europe GmbH, Böblingen
  2. IT-Teamleiter ERP (m/w/d)
    WE4YOU GmbH, verschiedene Standorte
Detailsuche

Laut dem Bericht fanden die IT-Sicherheitsforscher 16 sicherheitsrelevante Probleme bei Mozilla VPN, von denen sie jedoch nur eine als Schwachstelle bezeichnen. "Die übrigen fünfzehn Probleme sollte man als eine Sammlung allgemeiner Schwächen mit geringerem Ausnutzungspotenzial betrachten", heißt es in dem Bericht. Laut Cure53 hat sich das Sicherheitsniveau im Vergleich zu einem früheren Audit im Sommer 2020 deutlich erhöht.

Bei der im Audit entdeckten Schwachstelle geht es darum, dass das Mozilla VPN unverschlüsselte HTTP-Requests an bestimmte IP-Adressen außerhalb des Tunnels erlaubt. Dazu müsse die Captive-Portal-Erkennung aktiviert sein. Bei Captive Portals handelt es sich etwa um Vorschaltseiten, die bei WLANs zum Einsatz kommen und die HTTP-Zugriffe auf eine definierte Webseite weiterleiten. Ein Angreifer könnte über den Mechanismus unter Umständen Netzwerkverkehr mitschneiden und Nutzer deanonymisieren. Laut Cure53 wäre dazu jedoch ein "starkes, staatlich-finanziertes Angreifermodell" vorausgesetzt.

"Wir haben diese Feststellung akzeptiert, da die Vorteile der Captive-Portal-Erkennung für den Benutzer das Sicherheitsrisiko überwiegen", so Mozilla. Viele andere Anwendungen würden eine ähnliche Lösung nutzen. Cure53 empfiehlt, die Erkennung standardmäßig zu deaktivieren und mit einer Sicherheitswarnung zu versehen. Den Großteil der weiteren beobachteten Probleme hat Mozilla im Juli behoben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Padina42 02. Sep 2021

Die Hersteller von Kopierern müssen an die VG-Wort für das Kopieren von Büchern pauschal...

zacha 02. Sep 2021

Okay, das Finding geht ungefähr so. Der Angreifer ist in der Lage den Traffic mitzuesen...

prolemiker 02. Sep 2021

Ach, dann ist ja gut. Ich mach mir nur sorgen um Kleinkriminelle und Rechtsradikale. Der...



Aktuell auf der Startseite von Golem.de
Krieg der Steine
Kopierte Lego-Mini-Figuren dürfen nicht verkauft werden

Lego hat einen Rechtsstreit um Mini-Figuren gegen einen Spielwarenhändler gewonnen, der Figuren aus China verkauft hat.

Krieg der Steine: Kopierte Lego-Mini-Figuren dürfen nicht verkauft werden
Artikel
  1. Smartphones: Xiaomis neues Foldable ist wesentlich günstiger
    Smartphones
    Xiaomis neues Foldable ist wesentlich günstiger

    Das Xiaomi Mix Fold 2 ähnelt dem Samsung Galaxy Fold 4. Es ist ähnlich gut ausgestattet, kostet aber wesentlich weniger Geld.

  2. USA: Tesla stoppt Bestellungen für das Model 3 Long Range
    USA
    Tesla stoppt Bestellungen für das Model 3 Long Range

    In den USA und Kanada übersteigt die Nachfrage nach dem Tesla Model 3 LR das Angebot, so dass Tesla erstmal keine Bestellungen mehr annimmt.

  3. Web Components mit StencilJS: Mehr Klarheit im Frontend
    Web Components mit StencilJS
    Mehr Klarheit im Frontend

    Je mehr UI/UX in Anwendungen vorkommt, desto mehr Unordnung gibt es im Frontend. StencilJS zeigt, wie man verschiedene Frameworks mit Web Components zusammenbringt.
    Eine Anleitung von Martin Reinhardt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • BenQ Mobiuz EX3410R 499€ • HyperX Cloud Flight heute für 44€ • MindStar (u. a. AMD Ryzen 5 5600X 169€, Intel Core i5-12400F 179€ und GIGABYTE RTX 3070 Ti Master 8G 699€ + 20€ Cashback) • Weekend Sale bei Alternate (u. a. AKRacing Master PRO für 353,99€) [Werbung]
    •  /