Uma auditoria de segurança realizada pela empresa de segurança cibernética Cure53, sediada em Berlim, destacou recentemente falhas de segurança nos aplicativos de VPN do Mozilla. Esse exame aprofundado dos clientes da Mozilla revelou 7 vulnerabilidades totais, 2 das quais são consideradas críticas ou de alta prioridade. A Mozilla afirma já ter resolvido todos os riscos potenciais identificados.
Uma auditoria mista para o Mozilla VPN
As auditorias independentes estão se tornando cada vez mais comuns entre os provedores de VPN que priorizam a transparência e a segurança. Para a Mozilla, esta é a terceira colaboração com a Cure53, coincidindo com o lançamento de novos recursos da Mozilla, incluindo um sistema de bloqueio de malware.
Um grupo de cinco testadores sênior da Cure53 realizou testes de penetração e inspeções de software durante 21 dias. Eles usaram uma abordagem de caixa branca para examinar a infraestrutura de segurança e a força do código dos aplicativos da Mozilla para macOS, Linux, Windows, iOS e Android. O relatório completo do Cube 53 pode ser visualizado neste endereço.
As 7 vulnerabilidades de segurança identificadas, 2 das quais eram de alta prioridade e 5 de média prioridade, deram uma impressão geral mista da resiliência dos aplicativos cliente VPN da Mozilla.
Embora a estrutura do código tenha sido considerada sólida e livre de falhas de corrupção de memória, verificou-se que algumas funcionalidades da VPN tinham o potencial de expor os dados do usuário.
Leia também: Descubra o Mozilla VPN
Vulnerabilidades críticas
A vulnerabilidade mais crítica afetou o aplicativo Mozilla VPN para iOS. Descobriu-se que a configuração do WireGuard® armazenada no iOS Keychain vazava para o iCloud por meio de backups do dispositivo, a menos que os usuários optassem explicitamente pela criptografia avançada de dados. A Mozilla disse que a Cure53 confirmou que esse risco foi mitigado com a adição de uma camada extra de criptografia.
Outra falha de alta prioridade foi descoberta nas versões para desktop, em que o aplicativo Mozilla VPN não restringia suficientemente o chamador do aplicativo, permitindo que um complemento malicioso interagisse com a VPN e até mesmo desabilitasse a conexão VPN sem o conhecimento do usuário. Mais uma vez, a Mozilla nos garantiu que corrigiu esse risco de acordo com as recomendações da Cure53.
Outras vulnerabilidades
Conforme mencionado, a Mozilla também resolveu todas as outras vulnerabilidades de média e baixa prioridade, seguindo as recomendações do Cure53. Da mesma forma, a última auditoria de segurança realizada em 2021 revelou grandes problemas no Mozilla VPN, todos os quais foram resolvidos durante o período de auditoria.
Pontos positivos da auditoria
Como ponto positivo, o Cure53 também elogiou alguns dos recursos do Mozilla, como split-tunneling e conexões multi-hop, que se baseiam em tecnologias estabelecidas, como as bibliotecas e drivers Mullvad VPN. Os especialistas escreveram que integrá-los do zero minimiza a probabilidade de novos pontos fracos.
Atualizações futuras planejadas pelo Mozilla VPN
A Mozilla decidiu usar essa empresa de auditoria terceirizada novamente antes de lançar novos recursos. Isso inclui um bloqueador de anúncios e malware lançado em Beta em agosto, bem como melhorias de desempenho, como recomendações de localização de servidor, que foram integradas em seus aplicativos em junho. O provedor também ampliou sua rede de servidores para mais 16 países europeus, incluindo Dinamarca, Hungria e Portugal, entre outros.
Ainda assim, o Mozilla VPN está se mantendo firme e mantendo seu compromisso.