Mozilla VPN wurde einem unabhängigen Audit unterzogen, dessen Berichte am 6. Dezember 2023 veröffentlicht wurden. Dies ist das zweite und das erste Mozilla VPN-Audit fand im Jahr 2021 statt. Das Audit wurde von durchgeführt Heilung53ein deutsches Cybersicherheitsunternehmen mit mehr als 15 Jahren Branchenerfahrung in der Bewertung der besten VPN-Dienste.
Der Prüfungsumfang umfasste die Überprüfung der Mozilla VPN-Apps für macOS, Linux, Windows, iOS und Android. Während des Prozesses wurden zwei große Schwachstellen entdeckt; einer wurde als kritisch und der andere als risikoreich gekennzeichnet. Die gute Nachricht ist, dass beide Schwachstellen vom Unternehmen ordnungsgemäß behoben wurden. Gehen wir nun auf die Einzelheiten aller aufgedeckten Schwachstellen ein.
FVP-03-008: Schlüsselbund-Zugriffsebene gibt den privaten WG-Schlüssel an iCloud weiter (kritisches Risiko)
Die Prüfung ergab einen Zugriffsebenenfehler innerhalb der im iOS-Schlüsselbund gespeicherten WireGuard-Konfiguration. Dies führte zur Speicherung der Konfiguration im iCloud-Backup, das nicht Ende-zu-Ende-verschlüsselt ist. Einfach ausgedrückt bedeutet dies, dass Apple Ihre Wireguard-Konfiguration lesen kann, wenn Sie die erweiterte Datenverschlüsselung nicht aktivieren.
Nach Gesprächen mit Mozilla kam Cure53 jedoch zu dem Schluss, dass dieses Verhalten nur in bestimmten Testsituationen auftritt.
FVP-03-011: Fehlende lokale TCP-Server-Zugriffskontrollen (mittleres Risiko)
Mozilla VPN-Clients stellten während der Kommunikation mit Firefox-Multi-Account-Containern eine lokale TCP-Schnittstelle auf Port 8754 (der an einen lokalen Host gebunden ist) offen. Jeder Betreiber auf dem lokalen Host kann das VPN deaktivieren, indem er eine Anfrage an den Port sendet.
Auch diese Schwachstelle wurde behoben und verifiziert.
FVP-03-012: Rogue-Erweiterung kann VPN mit mozillavpnnp deaktivieren (hohes Risiko)
Der Native Messaging-API wurde zur Kommunikation zwischen Multi-Account-Containern (erwähnt in FVP-03-011) und mozillavpnnp verwendet. Die Prüfer stellten fest, dass mozillavpnnp nicht in der Lage ist, Anwendungsaufrufer einzuschränken, was bedeutet, dass ein böswilliger Akteur mit dem VPN interagieren und es deaktivieren könnte.
Diese Sicherheitslücke wurde als hochriskant eingestuft und vom VPN-Anbieter behoben.
FVP-03-003: DoS über serialisierte Absicht (mittleres Risiko)
Tests ergaben, dass die Mozilla Android VPN-App Benutzeraktivitäten an Dritte weitergab, die ausgenutzt werden konnten, um die App durch eine künstliche Absicht vollständig zum Absturz zu bringen. Eine Hintergrund-App kann dies wiederholt tun, wodurch die Android-App funktionsunfähig wird und ein DoS verursacht wird.
Allerdings wurde dies nur als mittlere Bedrohung eingestuft, da der WireGuard-Tunnel auch nach dem Absturz der App nicht ausfiel. Dies liegt daran, dass es vom Android-Betriebssystem verwaltet wird. Das Problem wurde von Mozilla behoben, was von Cure53 ordnungsgemäß überprüft wurde.
FVP-03-009: Fehlende Zugriffskontrollen auf Daemon-Socket (mittleres Risiko)
Cure53 stellte in seinem Test fest, dass der Daemon-Socket unter macOS nicht über eine Durchsetzung der Zugriffskontrolle verfügte. Dies ist wichtig, um zu überprüfen, ob der Benutzer, der Befehle an den Daemon-Socket sendet, dazu berechtigt ist.
Ohne dies kann jeder nicht autorisierte Benutzer Daemon-Protokolle lesen und löschen, öffentliche Schlüssel preisgeben und den Daemon und die VPN-Verbindung beenden. Diese Schwachstelle wurde vom VPN-Anbieter behoben und die Behebung wurde von Cure53 verifiziert.
FVP-03-010: VPN-Leck durch Captive-Portal-Erkennung (mittleres Risiko)
Bei der Prüfung wurde festgestellt, dass die Captive-Portal-Benachrichtigungsfunktion unverschlüsselte HTTP-Anfragen außerhalb des VPN-Tunnels senden könnte, was zu IP-Lecks führen könnte. Cure53 empfahl, die Funktion gezielt auszuschalten, um solche Lecks zu verhindern.
Allerdings sind die mit dieser Schwachstelle verbundenen Risiken relativ gering, da die Ausnutzungsmethoden komplex sind. Wie andere Bedrohungen wurde auch diese von Mozilla neutralisiert.
Endeffekt
Wie Sie sehen, konnte Mozilla VPN keinen sauberen Bericht von Cure53 erhalten. Allerdings hat die Prüfung dem Anbieter dabei geholfen, Teile seiner VPN-Dienste zu verbessern, was in Zukunft die Benutzersicherheit hätte beeinträchtigen können.
Aus dem gleichen Grund empfehlen wir nur VPN-Dienste, die regelmäßig überprüft werden, auch wenn die Berichte nicht immer perfekt sind – dies zeigt das Engagement des Anbieters, sein VPN für die breite Öffentlichkeit sicher und zuverlässig zu machen. Außerdem können, wie im Fall von Mozilla VPN, alle bei diesen Prüfungen gefundenen Schwachstellen behoben werden, bevor es zu spät ist.