IT-Sicherheit: Ergebnisse des Mozilla-VPN-Audits veröffentlicht
Der VPN-Dienst des Browserherstellers Mozilla ist seit April 2021 auch in Deutschland verfügbar. Nun veröffentlichte(öffnet im neuen Fenster) Mozilla die Ergebnisse eines Sicherheitsaudits(öffnet im neuen Fenster) , das von dem Berliner Pentesting-Unternehmen Cure53 durchgeführt wurde.
Laut dem Bericht fanden die IT-Sicherheitsforscher 16 sicherheitsrelevante Probleme bei Mozilla VPN, von denen sie jedoch nur eine als Schwachstelle bezeichnen. "Die übrigen fünfzehn Probleme sollte man als eine Sammlung allgemeiner Schwächen mit geringerem Ausnutzungspotenzial betrachten" , heißt es in dem Bericht. Laut Cure53 hat sich das Sicherheitsniveau im Vergleich zu einem früheren Audit im Sommer 2020 deutlich erhöht.
Bei der im Audit entdeckten Schwachstelle geht es darum, dass das Mozilla VPN unverschlüsselte HTTP-Requests an bestimmte IP-Adressen außerhalb des Tunnels erlaubt. Dazu müsse die Captive-Portal-Erkennung aktiviert sein. Bei Captive Portals handelt es sich etwa um Vorschaltseiten, die bei WLANs zum Einsatz kommen und die HTTP-Zugriffe auf eine definierte Webseite weiterleiten. Ein Angreifer könnte über den Mechanismus unter Umständen Netzwerkverkehr mitschneiden und Nutzer deanonymisieren. Laut Cure53 wäre dazu jedoch ein "starkes, staatlich-finanziertes Angreifermodell" vorausgesetzt.
"Wir haben diese Feststellung akzeptiert, da die Vorteile der Captive-Portal-Erkennung für den Benutzer das Sicherheitsrisiko überwiegen" , so Mozilla. Viele andere Anwendungen würden eine ähnliche Lösung nutzen. Cure53 empfiehlt, die Erkennung standardmäßig zu deaktivieren und mit einer Sicherheitswarnung zu versehen. Den Großteil der weiteren beobachteten Probleme hat Mozilla im Juli behoben(öffnet im neuen Fenster) .
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.