IT-Sicherheit: Ergebnisse des Mozilla-VPN-Audits veröffentlicht

IT-Sicherheitsexperten haben Mozillas VPN-Dienst untersucht. Unter 16 entdeckten Problemen fanden sie eine ausnutzbare Schwachstelle.

Artikel veröffentlicht am , Anna Biselli
Mozilla VPN gibt es für verschiedene Betriebssysteme.
Mozilla VPN gibt es für verschiedene Betriebssysteme. (Bild: Kaitlyn Baker/unsplash.com)

Der VPN-Dienst des Browserherstellers Mozilla ist seit April 2021 auch in Deutschland verfügbar. Nun veröffentlichte Mozilla die Ergebnisse eines Sicherheitsaudits, das von dem Berliner Pentesting-Unternehmen Cure53 durchgeführt wurde.

Stellenmarkt
  1. Java Entwickler:in (m/w/d)
    Lufthansa Industry Solutions TS GmbH, Oldenburg
  2. Mitarbeiter IT-Helpdesk / Supporttechniker (m/w/d)
    Heinz von Heiden GmbH Massivhäuser, Isernhagen bei Hannover
Detailsuche

Laut dem Bericht fanden die IT-Sicherheitsforscher 16 sicherheitsrelevante Probleme bei Mozilla VPN, von denen sie jedoch nur eine als Schwachstelle bezeichnen. "Die übrigen fünfzehn Probleme sollte man als eine Sammlung allgemeiner Schwächen mit geringerem Ausnutzungspotenzial betrachten", heißt es in dem Bericht. Laut Cure53 hat sich das Sicherheitsniveau im Vergleich zu einem früheren Audit im Sommer 2020 deutlich erhöht.

Bei der im Audit entdeckten Schwachstelle geht es darum, dass das Mozilla VPN unverschlüsselte HTTP-Requests an bestimmte IP-Adressen außerhalb des Tunnels erlaubt. Dazu müsse die Captive-Portal-Erkennung aktiviert sein. Bei Captive Portals handelt es sich etwa um Vorschaltseiten, die bei WLANs zum Einsatz kommen und die HTTP-Zugriffe auf eine definierte Webseite weiterleiten. Ein Angreifer könnte über den Mechanismus unter Umständen Netzwerkverkehr mitschneiden und Nutzer deanonymisieren. Laut Cure53 wäre dazu jedoch ein "starkes, staatlich-finanziertes Angreifermodell" vorausgesetzt.

"Wir haben diese Feststellung akzeptiert, da die Vorteile der Captive-Portal-Erkennung für den Benutzer das Sicherheitsrisiko überwiegen", so Mozilla. Viele andere Anwendungen würden eine ähnliche Lösung nutzen. Cure53 empfiehlt, die Erkennung standardmäßig zu deaktivieren und mit einer Sicherheitswarnung zu versehen. Den Großteil der weiteren beobachteten Probleme hat Mozilla im Juli behoben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Padina42 02. Sep 2021 / Themenstart

Die Hersteller von Kopierern müssen an die VG-Wort für das Kopieren von Büchern pauschal...

zacha 02. Sep 2021 / Themenstart

Okay, das Finding geht ungefähr so. Der Angreifer ist in der Lage den Traffic mitzuesen...

prolemiker 02. Sep 2021 / Themenstart

Ach, dann ist ja gut. Ich mach mir nur sorgen um Kleinkriminelle und Rechtsradikale. Der...

Kommentieren



Aktuell auf der Startseite von Golem.de
Amtlicher Energiekostenvergleich  
Benzinkosten mehr als doppelt so teuer wie Ladestrom

Vom 1. Oktober an müssen große Tankstellen einen Energiekostenvergleich aushängen. Dabei schneiden Elektroautos derzeit am besten ab.

Amtlicher Energiekostenvergleich: Benzinkosten mehr als doppelt so teuer wie Ladestrom
Artikel
  1. Roku Streambar: Soundbar mit Streamingfunktionen kostet 150 Euro
    Roku Streambar
    Soundbar mit Streamingfunktionen kostet 150 Euro

    Roku kommt nach Deutschland und bringt parallel zu externen Streaminggeräten auch eine Soundbar, um den Klang des Fernsehers aufzuwerten.

  2. Diablo 2 Resurrected im Test: Der dunkle Fürst der Zeitfresser ist auferstanden
    Diablo 2 Resurrected im Test
    Der dunkle Fürst der Zeitfresser ist auferstanden

    Gelungene Umsetzung für Konsolen, überarbeitete Grafik und Detailverbesserungen: Bei Diablo 2 Resurrected herrscht Lange-Nacht-Gefahr.
    Von Peter Steinlechner

  3. Bundesregierung: Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt
    Bundesregierung
    Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt

    Städte- und Gemeindebund verlangt, den Förder-Dschungel für Glasfaser zu beseitigen. Versuche gab es viele.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u. a. DeepCool Matrexx 55 V3 ADD-RGB WH 49,98€) • Thunder X3 TC5 145,89€ • Toshiba Canvio Desktop 6 TB ab 99€ • Samsung 970 EVO Plus 2 TB 208,48€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • WISO Steuer-Start 2021 10,39€ • Samsung Odyssey G7 499€ [Werbung]
    •  /