Критическая уязвимость в сервисе Librem One, выявленная в день его запуска

2 мая 2019 года

В сервисе Librem One, нацеленном на использование в смартфоне Librem 5, сразу после запуска всплыла критическая проблема с безопасностью, которая дискредитирует проект, преподносимый как защищённая платформа для обеспечения приватности. Уязвимость найдена в сервисе Librem Chat и позволяла зайти в чат под любым пользователем, без знания параметров аутентификации.

В использованном коде бэкенда авторизации через LDAP (matrix-appservice-ldap3) для сети Matrix была допущена ошибка, которая оказалась перенесена и в код рабочего сервиса Librem One. Вместо строки "result, _ = yield self._ldap_simple_bind" было указано "result = yield self._ldap_simple_bind", что позволяло любому пользователю без авторизации войти в чат под любым идентификатором. Допустившие ошибку разработчики проекта Matrix утверждают, что проблема проявлялась только в master-ветке "matrix-appservice-ldap3", а не в релизах, но в репозитории проблемная строка присутствует ещё с 2016 года (возможно условия для эксплуатации проблемы возникли только после каких-то других недавних изменений).

Введённый в строй набор сервисов Librem One подразумевает платную подписку ($7.99 в месяц или $71.91 в год), но при этом за основу мобильных клиентов и серверных обработчиков взяты существующие открытые проекты, которые были переименованы для распространения под брендом Librem. Например, Librem Chat является переименованным Matrix-клиентом Riot, Librem Social основан на Tusky, Librem Mail переименован из K-9, Librem Tunnel заимствован из Ics-openvpn. Серверные компоненты основаны на Postfix и Dovecot для Librem Mail, Matrix для Librem Chat и Mastodon для Librem Social. В качестве причины поставки приложений под другими названиями называется желание собрать под одним узнаваемым брендом различные децентрализованные сервисы на базе открытых стандартов (Matrix, ActivityPub, IMAP).

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Критическая уязвимость в сервисе Librem One, выявленная в день его запуска», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.