In Librem Een dienst die bedoeld voor gebruik in Librem 5 smartphone, net na de release verhoogde kritische veiligheidskwestie.
Tzijn probleem kan een project in gevaar brengen dat Purisme bedrijf promoot als beschermd platform voor het waarborgen van privacy.“We zijn super enthousiast over onze Librem One lancering, als je niet kunt vertellen, maar om de zaken nog spannender te maken, we hebben ook een andere mijlpaal bereikt met de service: onze eerste beveiligingsbug!”, – schreef Kyle Rankin chief security officer van Purism company.
Kwetsbaarheid wordt gevonden in Librem Chat en maakt het mogelijk om de chat binnen te gaan onder de naam van een gebruiker zonder de authenticatieparameters te kennen.
In de gebruikte backend-autorisatiecode via LDAP (matrix-appservice-ldap3) voor Matrix-netwerk is een fout gemaakt die later werd doorgegeven in de code van de werkende Librem One-service.
In plaats van de lijn “Resultaat, _ = opbrengst zelf._ldap_simple_bind” was geschreven “resultaat = opbrengst zelf._ldap_simple_bind“, waarmee elke gebruiker kan chatten zonder authenticatie.
Ontwikkelaars van Matrix-project die verantwoordelijk waren voor de fout beweren, dat probleem kwam alleen aan de orde in de master-branch “matrix-appservice-ldap3” maar niet in releases, maar in de repository was een problematische regel aanwezig sinds 2016 (de voorwaarden voor de exploitatie ervan werden pas gecreëerd met enkele recente wijzigingen).
Pursim-bedrijf dat bekend staat om de ontwikkeling van de Librem-lijn van apparaten met Linux-distributief PureOS, slechts een paar dagen geleden gelanceerd verenigd abonnement Librem One dat toegang tot alle diensten van het bedrijf opent, vergelijkbaar met Google en Amazone Prime. Zoals overwegen in Purisme, gebruikers betalen voor populaire gratis diensten (als Google en Facebook) met hun persoonlijke gegevens.
Bedrijf biedt ook maandelijkse of wekelijkse betalingsplannen voor zijn diensten - natuurlijk, de vertrouwelijkheid van de klant is gegarandeerd. Op alle diensten, behalve voor Librem Social, wordt end-to-end codering gebruikt.
De diensten van het bedrijf omvatten ook: Librem-chat boodschapper, Librem Sociaal, gemaakt op basis van het sociale netwerk van Mastodon, VPN-service Librem-tunnel en brievenbus Librem-mail. Later zal Purism naar de cloudopslag van abonnees schrijven Librem-bestanden En Librem-back-up, service van synchronisatie van contacten Librem-contacten enz.
Gebruikers hebben gratis toegang tot Librem Chat en Librem Social. Maandelijks abonnement op alle servicekosten $7,99 en jaarlijks – $71,91. Er is een optie voor een gezinsabonnement voor vijf personen: $14,99 per maand en $134,91 per jaar.
Van nature, na het vinden van een kritieke kwetsbaarheid in de Librem One-service op de dag van lancering die alle gebruikers in gevaar brengt’ gegevens, er zijn grote twijfels over het project.
niettemin, Kyle Rankin, Chief Security Officer van Purism stelt dat::
“Eerst is het belangrijk om te bespreken waar deze bug geen invloed op heeft. Alle andere Librem One-services, inclusief Tunnel, Mail, en Social werden niet beïnvloed door deze bug. Het was een authenticatiefout, specifiek met de Librem Chat-service. Gelukkig deed deze bug zich voor in het begin van de servicelancering voordat te veel klanten chat gebruikten. We hebben de chat onmiddellijk afgesloten na bevestiging van de bug en de algehele storing duurde ongeveer 30 minuten terwijl we het onderzochten en herstelden.”
Alleen de tijd zal moeten als Librem One het vertrouwen van zijn klanten waard is.
Bron: https://puri.sm/posts/
