Berlin merkezli siber güvenlik firması Cure53, son güvenlik denetiminde Mozilla VPN uygulamalarında bazı güvenlik açıkları buldu.
Mozilla’nın tüm istemcileri incelendikten sonra toplam yedi güvenlik açığı keşfedildi ve bunlardan ikisi kritik veya yüksek öncelikli olarak kabul edildi. VPN hizmeti artık tüm potansiyel risklerin zaten ele alınmış olmasını sağlıyor.
Bağımsız denetimler, şeffaflığa ve güvenliğe değer veren VPN şirketleri arasında giderek daha yaygın bir uygulama haline geldi. Bu, Mozilla’nın böyle bir görev için Cure53’e üçüncü kez güvenmesi ve sağlayıcının yeni bir kötü amaçlı yazılım engelleme sistemi de dahil olmak üzere yeni özellikler başlatmasıyla birlikte geliyor.
Mozilla’nın karışık sonuçları
Cure53’teki beş kıdemli test uzmanından oluşan bir ekip, Mayıs 2023 boyunca toplam 21 iş günü boyunca bir dizi penetrasyon testi ve yazılım incelemesi gerçekleştirdi. MacOS, Linux, Windows, iOS ve Android VPN uygulaması olmak üzere tüm Mozilla uygulamalarının güvenlik altyapısını ve kod sağlamlığını test etmek amacıyla beyaz kutu yaklaşımı kullanıldı.
Raporda, ikisi yüksek ve beşi orta öncelikli olmak üzere yedi güvenlik kusurunun “Mozilla VPN istemci uygulamalarının güvenlik esnekliği konusunda elde edilen kesinlikle karışık genel izlenime katkıda bulunduğu” belirtiliyor.
Kod yapısının “sağlam bir şekilde oluşturulmuş” ve bellek bozulması hatalarından arınmış olduğu kabul edilirse, uzmanlar bazı VPN özelliklerinin kullanıcıların verilerini potansiyel olarak açığa çıkarabileceğini buldu.
En kritik güvenlik açığı Mozilla VPN iOS uygulamasını etkiledi. Testler, kullanıcıların Gelişmiş Veri Şifrelemeyi açıkça etkinleştirmemesi durumunda, iOS Anahtar Zincirinde saklanan WireGuard yapılandırmasının cihaz yedeklemeleri yoluyla iCloud’a sızdırıldığını gösterdi. Mozilla, Cure53’ün ekstra bir şifreleme katmanı ekleyerek bu riskin giderildiğini doğruladığını iddia etti.
Masaüstünde başka bir yüksek öncelikli kusur bulundu. mozillavpnp uygulama, uygulamayı çağıran kişiyi yeterince kısıtlamadı ve potansiyel olarak kötü amaçlı bir eklentinin VPN ile etkileşime girmesine ve hatta muhtemelen kullanıcının haberi olmadan VPN bağlantısını devre dışı bırakmasına izin verdi. Mozilla bir kez daha Cure53’ün önerdiği şekilde bu riski ele aldığına dair güvence verdi.
Daha önce de belirtildiği gibi, Mozilla’nın Cure53 tarafından önerilen diğer tüm orta ve düşük güvenlik açıklarını düzelttiği bildirildi. Benzer şekilde, 2021’de gerçekleştirilen son güvenlik denetiminde Mozilla VPN’de denetim döneminde giderilen önemli sorunlar tespit edildi.
Daha olumlu bir not olarak Cure53, Mullvad kütüphaneleri ve sürücüleri gibi yerleşik teknolojiye dayanan bölünmüş tünelleme ve çoklu atlama bağlantıları gibi bazı Mozilla özelliklerine de övgüde bulundu. Uzmanlar, “Bunların sıfırdan entegre edilmesi, tahsis edilen değerlendirme programı sırasında rapor edilecek kayda değer endişeler olmaksızın, ortaya çıkan zayıflıkların olasılığını en aza indiriyor” diye yazdı.
Mozilla, bazı yeni özellikleri yayınlamadan önce üçüncü taraf denetim firmasını tekrar aramaya karar verdiğini söyledi. Bunlar arasında Ağustos ayında başlatılan kötü amaçlı yazılım engelleme yazılımının yanı sıra Haziran ayında uygulamalara entegre edilen sunucu konumu önerileri gibi performans iyileştirmeleri de yer alıyor.
Sağlayıcı ayrıca sunucu ağını Danimarka, Macaristan, Portekiz ve daha fazlası dahil olmak üzere 16 Avrupa ülkesine daha genişletti.