Критическая уязвимость в сервисе Librem One, выявленная в день его запуска

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

2 мая 2019 года

Wikinews-logo-ru.svg

В сервисе Librem One, нацеленном на использование в смартфоне Librem 5, сразу после запуска всплыла критическая проблема с безопасностью, которая дискредитирует проект, преподносимый как защищённая платформа для обеспечения приватности. Уязвимость найдена в сервисе Librem Chat и позволяла зайти в чат под любым пользователем, без знания параметров аутентификации.

В использованном коде бэкенда авторизации через LDAP (matrix-appservice-ldap3) для сети Matrix была допущена ошибка, которая оказалась перенесена и в код рабочего сервиса Librem One. Вместо строки "result, _ = yield self._ldap_simple_bind" было указано "result = yield self._ldap_simple_bind", что позволяло любому пользователю без авторизации войти в чат под любым идентификатором. Допустившие ошибку разработчики проекта Matrix утверждают, что проблема проявлялась только в master-ветке "matrix-appservice-ldap3", а не в релизах, но в репозитории проблемная строка присутствует ещё с 2016 года (возможно условия для эксплуатации проблемы возникли только после каких-то других недавних изменений).

Введённый в строй набор сервисов Librem One подразумевает платную подписку ($7.99 в месяц или $71.91 в год), но при этом за основу мобильных клиентов и серверных обработчиков взяты существующие открытые проекты, которые были переименованы для распространения под брендом Librem. Например, Librem Chat является переименованным Matrix-клиентом Riot, Librem Social основан на Tusky, Librem Mail переименован из K-9, Librem Tunnel заимствован из Ics-openvpn. Серверные компоненты основаны на Postfix и Dovecot для Librem Mail, Matrix для Librem Chat и Mastodon для Librem Social. В качестве причины поставки приложений под другими названиями называется желание собрать под одним узнаваемым брендом различные децентрализованные сервисы на базе открытых стандартов (Matrix, ActivityPub, IMAP).

 

Источники[править]


OpenNET logo.png
Creative Commons
Эта статья содержит материалы из статьи «Критическая уязвимость в сервисе Librem One, выявленная в день его запуска», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Cartoon Robot.svg
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Критическая уязвимость в сервисе Librem One, выявленная в день его запуска