IT-Sicherheit: Ergebnisse des Mozilla-VPN-Audits veröffentlicht

IT-Sicherheitsexperten haben Mozillas VPN-Dienst untersucht. Unter 16 entdeckten Problemen fanden sie eine ausnutzbare Schwachstelle.

Artikel veröffentlicht am , Anna Biselli
Mozilla VPN gibt es für verschiedene Betriebssysteme.
Mozilla VPN gibt es für verschiedene Betriebssysteme. (Bild: Kaitlyn Baker/unsplash.com)

Der VPN-Dienst des Browserherstellers Mozilla ist seit April 2021 auch in Deutschland verfügbar. Nun veröffentlichte Mozilla die Ergebnisse eines Sicherheitsaudits, das von dem Berliner Pentesting-Unternehmen Cure53 durchgeführt wurde.

Laut dem Bericht fanden die IT-Sicherheitsforscher 16 sicherheitsrelevante Probleme bei Mozilla VPN, von denen sie jedoch nur eine als Schwachstelle bezeichnen. "Die übrigen fünfzehn Probleme sollte man als eine Sammlung allgemeiner Schwächen mit geringerem Ausnutzungspotenzial betrachten", heißt es in dem Bericht. Laut Cure53 hat sich das Sicherheitsniveau im Vergleich zu einem früheren Audit im Sommer 2020 deutlich erhöht.

Bei der im Audit entdeckten Schwachstelle geht es darum, dass das Mozilla VPN unverschlüsselte HTTP-Requests an bestimmte IP-Adressen außerhalb des Tunnels erlaubt. Dazu müsse die Captive-Portal-Erkennung aktiviert sein. Bei Captive Portals handelt es sich etwa um Vorschaltseiten, die bei WLANs zum Einsatz kommen und die HTTP-Zugriffe auf eine definierte Webseite weiterleiten. Ein Angreifer könnte über den Mechanismus unter Umständen Netzwerkverkehr mitschneiden und Nutzer deanonymisieren. Laut Cure53 wäre dazu jedoch ein "starkes, staatlich-finanziertes Angreifermodell" vorausgesetzt.

"Wir haben diese Feststellung akzeptiert, da die Vorteile der Captive-Portal-Erkennung für den Benutzer das Sicherheitsrisiko überwiegen", so Mozilla. Viele andere Anwendungen würden eine ähnliche Lösung nutzen. Cure53 empfiehlt, die Erkennung standardmäßig zu deaktivieren und mit einer Sicherheitswarnung zu versehen. Den Großteil der weiteren beobachteten Probleme hat Mozilla im Juli behoben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Urheberrecht
Filmstudios gehen gegen VPN-Anbieter vor
artikel-bild
Chrome
WebGPU kommt in den Google-Browser
artikel-bild
Illegales Streaming
VPN-Anbieter sollen Daten verdächtiger User aufzeichnen
Meistgelesen
artikel-bild
Ungewöhnlicher Kundenservice
Wie ich meine neuen Kopfhörer mit dem Hammer zerschlug
artikel-bild
Deutschland auf Platz 3
Millionen von SSH-Servern anfällig für Terrapin-Angriff
artikel-bild
Photovoltaik-Bilanz
Sommer vorm Balkonkraftwerk
Kommentarübersicht
Stellt das VPN urheberrechtlich doch dem Kopierer...
Padina42 02. Sep 2021

Die Hersteller von Kopierern müssen an die VG-Wort für das Kopieren von Büchern pauschal...

Re: Betrifft es auch mullvad?
zacha 02. Sep 2021

Okay, das Finding geht ungefähr so. Der Angreifer ist in der Lage den Traffic mitzuesen...

starkes, staatlich-finanziertes Angreifermodell
prolemiker 02. Sep 2021

Ach, dann ist ja gut. Ich mach mir nur sorgen um Kleinkriminelle und Rechtsradikale. Der...

Aktuell auf der Startseite von Golem.de
Ungewöhnlicher Kundenservice
Wie ich meine neuen Kopfhörer mit dem Hammer zerschlug

Normalerweise muss man sich in einem Garantiefall nicht dabei filmen, wie man das defekte Produkt zerstört. Ich schon - nur so bekam ich einen Ersatz für meinen Kopfhörer.
Ein Erfahrungsbericht von Tobias Költzsch

Ungewöhnlicher Kundenservice: Wie ich meine neuen Kopfhörer mit dem Hammer zerschlug
Artikel
  1. Deutschland auf Platz 3: Millionen von SSH-Servern anfällig für Terrapin-Angriff
    Deutschland auf Platz 3
    Millionen von SSH-Servern anfällig für Terrapin-Angriff

    Allein in Deutschland gibt es mehr als eine Million über das Internet erreichbare SSH-Server, die nicht gegen Terrapin gepatcht sind.

  2. Festnetz- und Mobilfunk: Telefónica beginnt Massenentlassungen in Spanien
    Festnetz- und Mobilfunk
    Telefónica beginnt Massenentlassungen in Spanien

    Von 16.500 Arbeitsplätzen beim Telefónica-Mutterkonzern soll rund ein Fünftel verschwinden. Der Stellenabbau betrifft vor allem Ältere.

  3. Streamer: Twitch verbietet vorgetäuschte Nacktheit
    Streamer
    Twitch verbietet vorgetäuschte Nacktheit

    Schwarze Balken über der scheinbar nackten Brust? Nicht erlaubt! Selbst wenn Unterwäsche hervorblitzt, verbietet Twitch solche Darstellungen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial P3 Plus 4 TB + Acronis 194,83€ • MediaMarkt & Saturn: Gutscheinheft mit Rabattaktionen und 3 Games für 49€ • Alternate: Thermaltake-Produkte im Angebot • HP Victus 15.6" 144Hz (i5-13420H, 16 GB, RTX 3050) 777€ • MindStar: Corsair Vengeance RGB 64 GB DDR5-6000 199€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /