Mozilla VPN: Ergebnisse der Sicherheitsüberprüfung und neue Funktionen angekündigt

Mozilla hat letzte Woche die Ergebnisse einer Sicherheitsüberprüfung seines Mozilla VPN-Dienstes veröffentlicht. Das Unternehmen hat auch neue Funktionen für Mozilla VPN vorgestellt.

Wir haben die VPN-Lösung von Mozilla seit dem Beginn der Tests des Dienstes im Jahr 2018 in loser Folge verfolgt. Das VPN, das die Infrastruktur des schwedischen Unternehmens Mullvad VPN nutzt, startete offiziell im Jahr 2020 in ausgewählten Regionen.

Die jüngste Sicherheitsüberprüfung ist die zweite Überprüfung des Dienstes seit seinem Start. Mozilla beauftragte das Cybersecurity-Unternehmen Cure53, die Mozilla VPN Qt6-App diesmal für alle unterstützten Betriebssysteme zu prüfen.

Ein Team von Sicherheitsforschern identifizierte sieben Schwachstellen und acht verschiedene Probleme. Alle Schwachstellen, mit Ausnahme von zwei, wurden als mittelschwer eingestuft. Eine wurde als kritisch und die andere als hoch eingestuft.

Die kritische Sicherheitslücke betraf ausschließlich die VPN-Lösung von Mozilla auf Apple iOS-Geräten. Laut dem abschließenden Prüfbericht führt sie dazu, dass der private Schlüssel von WireGuard unter bestimmten Umständen an iCloud weitergegeben wird. Die WireGuard-Konfiguration wird im iOS-Schlüsselbund mit einer Zugriffsebene gespeichert, die sie in Geräte-Backups einschließt, die in der iCloud gespeichert sind.

Die als hoch eingestufte Sicherheitslücke könnte von bösartigen Erweiterungen ausgenutzt werden, um die VPN-Verbindung abzuschalten.

Die fünf mittleren Sicherheitslücken wurden in verschiedenen Teilen der Mozilla VPN-Anwendung gefunden. Eine könnte von bösartigen Apps auf Android ausgenutzt werden, um die Mozilla VPN-Anwendung zum Absturz zu bringen, eine andere könnte ein potenzielles IP-Leck bei der Captive-Portal-Erkennung verursachen.

Mozilla hat alle sieben identifizierten Sicherheitsschwachstellen behoben und Updates veröffentlicht.

Die acht verschiedenen Schwachstellen werden mit den Schweregraden Information, Niedrig und Mittel bewertet. Es gibt nur ein Problem mit mittlerem Schweregrad, das Daten auf Android-Geräten betrifft.

Der vollständige Prüfbericht ist auf der Webseite von Mozilla verfügbar.

Mozilla arbeitet kontinuierlich an der Verbesserung seines VPN-Dienstes und führt regelmäßig Sicherheitsaudits durch, um zu gewährleisten, dass die Sicherheit hoch bleibt.