Una auditoría de seguridad llevada a cabo por la empresa berlinesa de ciberseguridad Cure53 ha puesto de manifiesto recientemente fallos de seguridad en las aplicaciones VPN de Mozilla. Este examen en profundidad de los clientes de Mozilla reveló 7 vulnerabilidades en total, 2 de las cuales se consideran críticas o de alta prioridad. Mozilla afirma haber resuelto ya todos los riesgos potenciales identificados.
Una auditoría mixta para Mozilla VPN
Las auditorías independientes son cada vez más habituales entre los proveedores de VPN que priorizan la transparencia y la seguridad. Para Mozilla, esta es la tercera colaboración con Cure53, coincidiendo con el lanzamiento de nuevas funciones de Mozilla, incluido un sistema de bloqueo de malware.
Un grupo de cinco expertos de Cure53 llevó a cabo pruebas de penetración e inspecciones de software durante 21 días. Utilizaron un enfoque de caja blanca para examinar la infraestructura de seguridad y la solidez del código de las aplicaciones de Mozilla para macOS, Linux, Windows, iOS y Android. El informe completo de Cube 53 puede consultarse aquí.
Las 7 vulnerabilidades de seguridad identificadas, 2 de las cuales eran de alta prioridad y 5 de prioridad media, dieron una impresión general mixta de la resistencia de las aplicaciones cliente VPN de Mozilla.
Aunque la estructura del código se consideró sólida y libre de fallos de corrupción de memoria, se descubrió que algunas funcionalidades VPN podían exponer los datos de los usuarios.
Lea también: Descubre Mozilla VPN
Vulnerabilidades críticas
La vulnerabilidad más crítica afectaba a la aplicación Mozilla VPN para iOS. Se descubrió que la configuración de WireGuard® almacenada en iOS Keychain se filtraba a iCloud a través de las copias de seguridad del dispositivo, a menos que los usuarios optaran explícitamente por el cifrado avanzado de datos. Mozilla dijo que Cure53 confirmó que este riesgo se mitigaba añadiendo una capa adicional de cifrado.
Otro fallo de alta prioridad se descubrió en las versiones de escritorio, donde la aplicación VPN de Mozilla no restringía suficientemente el llamador de la aplicación, lo que permitía a un complemento malicioso interactuar con la VPN e incluso desactivar la conexión VPN sin el conocimiento del usuario. Una vez más, Mozilla ha asegurado que ha corregido este riesgo de acuerdo con las recomendaciones del Cure53.
Otras vulnerabilidades
Como se ha mencionado, Mozilla también ha resuelto el resto de vulnerabilidades de prioridad media y baja, siguiendo las recomendaciones de Cure53. Del mismo modo, la última auditoría de seguridad realizada en 2021 reveló problemas importantes en Mozilla VPN, todos los cuales se resolvieron durante el periodo de auditoría.
Puntos positivos de la auditoría
Como nota positiva, Cure53 también alabó algunas de las características de Mozilla, como el túnel dividido y las conexiones multisalto, que se basan en tecnologías establecidas como las bibliotecas y controladores VPN de Mullvad. Los expertos escribieron que integrarlas desde cero minimiza la probabilidad de nuevas debilidades.
Futuras actualizaciones previstas por Mozilla VPN
Mozilla ha decidido recurrir de nuevo a esta empresa de auditoría externa antes de lanzar nuevas funciones. Esto incluye un bloqueador de anuncios y malware lanzado en Beta en agosto, así como mejoras de rendimiento como las recomendaciones de ubicación de servidores, que se integraron en sus apps en junio. El proveedor también ha ampliado su red de servidores a otros 16 países europeos, como Dinamarca, Hungría y Portugal, entre otros.
Aún así, Mozilla VPN se mantiene firme y mantiene su compromiso.