Pada 21 Januari 2020 penyedia VPN ProtonVPN mengumumkan telah menugaskan audit keamanan independen, yang dilakukan oleh perusahaan konsultan keamanan SEC Consult.

ProtonVPN, yang dimiliki oleh perusahaan induk Proton Technologies AG, telah membuat versi singkat audit ini (berisi semua potensi kerentanan) publik. Siapa pun dapat melihat hasilnya untuk Android, iOS, MacOS, dan Windows di situs webnya.

Setiap laporan audit meninjau potensi kerentanan keamanan suatu aplikasi, baik sebelum dan sesudah penyelidikan SEC Consult.

Di semua platform, konsultasi hanya menemukan kerentanan risiko rendah dan menengah. Dalam laporan tersebut SEC Consult mengonfirmasi bahwa semua kerentanan ini telah diperbaiki atau diterima oleh Proton Technologies.

Dalam kasus di mana kerentanan telah diterima daripada diperbaiki, Proton Technologies telah memberikan komentar dalam laporan yang menjelaskan keputusan ini.

Audit dilakukan berdasarkan timebox. Ini berarti bahwa SEC Consult mencari kerentanan dalam aplikasi untuk waktu yang ditentukan - dalam hal ini periode enam hari untuk setiap aplikasi.

Walaupun pendekatan ini berarti audit keamanan tidak dapat dianggap komprehensif, ProtonVPN juga telah membuat keempat aplikasi open-source, memungkinkan setiap profesional keamanan atau pengguna untuk memeriksa kode untuk kerentanan.

ProtonVPN mengklaim sebagai "penyedia VPN pertama yang merilis kode sumbernya di semua platform dan melakukan audit keamanan independen."

NordVPN, ExpressVPN, Surfshark, dan Tunnelbear adalah di antara penyedia VPN lain untuk melakukan audit keamanan dari beberapa atau semua aplikasi mereka.

Ada juga VPN lain, seperti AirVPN dan Mullvad, yang mengembangkan aplikasi open-source sepenuhnya.

Mullvad juga telah melakukan audit keamanan - meskipun tidak pada iOS, yang tidak memiliki aplikasi untuk itu.

ProtonVPN mungkin bukan satu-satunya VPN yang telah menjalani audit independen dan menjadikan semua aplikasinya open-source, tetapi kini memimpin bidang.

Berbicara pada pengumuman tersebut, Editor Top10VPN.com Callum Tennent mengatakan: “Kami senang melihat langkah-langkah yang telah diambil ProtonVPN. Transparansi dan kepercayaan sangat penting untuk VPN, dan kombinasi audit eksternal yang independen dan produk sumber terbuka adalah jaminan besar.

“Kami sangat berharap bahwa lebih banyak VPN akan melakukan hal serupa. Audit telah menjadi semakin umum, dan itu merupakan kepastian bahwa jumlah penyedia VPN yang mengalaminya akan meningkat pada tahun 2020 - tetapi pemrograman open-source masih jarang terjadi..

"Dengan mata para peretas dan penggemar privasi dunia sekarang terpaku pada kode sumber ProtonVPN, kami tidak ragu bahwa itu akan menjadi produk yang lebih aman dan lebih aman dari sebelumnya."

Menggunakan perangkat lunak sumber terbuka dan memungkinkan pihak ketiga tepercaya untuk mengaudit perangkat lunak dan proses mereka adalah dua metode yang telah coba digunakan oleh penyedia VPN untuk membangun kepercayaan dengan pengguna mereka..

Dalam pernyataan audit, CEO ProtonVPN Andy Yen mengatakan: "Layanan VPN secara teknis dapat mengakses beberapa data pengguna yang sangat sensitif, itulah sebabnya mengapa pengguna harus memilih layanan dengan rekam jejak untuk transparansi dan keamanan..

Foto Co-Founder dan CEO ProtonVPN, Andy Yen

Co-Founder dan CEO ProtonVPN, Andy Yen

"Kepercayaan ini harus diperoleh, dan dengan menerbitkan kode kami, kami berharap dapat menunjukkan komitmen kami untuk selalu melampaui dan melampaui ketika menyangkut keamanan dan menempatkan pengguna sebagai yang utama."

Dengan mengaudit keamanan aplikasinya, ProtonVPN telah membantu memastikan pengguna bahwa layanannya aman. Tetapi, karena audit ini adalah dari klien dan bukan praktik logging ProtonVPN, ia tidak dapat menjamin bahwa penyedia VPN melakukan persis apa yang dikatakannya dalam kebijakan privasinya..

Selalu disarankan bagi pengguna untuk menyelidiki konten audit, karena mereka sering menyelidiki dalam ruang lingkup yang telah ditentukan, yang mungkin tidak termasuk aplikasi atau kebijakan tertentu.

Audit sisi server lebih lanjut diperlukan untuk membuktikan bahwa ProtonVPN sesuai dengan kebijakan logging-nya.

Audit aplikasi Android dan Windows dilakukan pada Q1 2019, dan keduanya mengembalikan klasifikasi risiko awal medium dari auditor.

SEC Consult mengidentifikasi empat kerentanan risiko rendah dan satu kerentanan risiko tinggi di aplikasi Android, serta dua kerentanan risiko rendah dan dua kerentanan risiko menengah di aplikasi desktop..

Dalam aplikasi Android, semua kecuali dua kerentanan risiko rendah diperbaiki, berjudul "Pesan Debug Diaktifkan" dan "Kredensial Hardcoded / Enkripsi Data Tidak Sempurna."

Kerentanan Android pertama yang diterima oleh Proton Technologies adalah keberadaan pesan debug yang berisi data yang berpotensi sensitif - khususnya kredensial protokol OpenVPN dan IKEv2..

Proton Technologies menganggap informasi ini berisiko rendah, karena "dirancang terpisah dari kredensial akun pengguna." Selain itu, Proton Technologies menyatakan bahwa log debug ini berada di luar kendali aplikasi itu sendiri..

Kerentanan lain yang diterima oleh Proton Technologies di Android adalah keberadaan kredensial dalam biner aplikasi yang, bersama dengan ID perangkat yang unik, dapat digunakan untuk mendekripsi data dari aplikasi. Proton Technologies AG menanggapi hal ini dengan mengatakan bahwa kredensial ini digunakan untuk mengirim laporan pengecualian ke sistem logging-nya, menambahkan bahwa "titik akhir API untuk pelaporan jarang terbatas [sic]."

Pada Windows, kedua kerentanan risiko rendah telah diperbaiki dan kedua kerentanan risiko menengah diterima.

Satu kerentanan yang diterima tetapi tidak diperbaiki oleh Proton Technologies adalah penyimpanan token sesi teks biasa dan kredensial VPN. Penyedia VPN menanggapi dengan menyatakan bahwa ". Pengumpul sampah NET dan GO berada di luar kendali kami dan tidak ada cara untuk memaksa mereka untuk menghapus memori yang tidak terpakai."

Token sesi dan kredensial VPN yang disimpan dalam skenario ini tidak valid segera setelah logout.

SEC Consult juga mengidentifikasi potensi kerentanan dalam hardcoding kredensial ke dalam aplikasi. Proton Technologies menerima tetapi tidak menyelesaikan kerentanan ini, menyatakan bahwa kredensial adalah kunci OpenVPN TLS-auth, yang sudah didistribusikan secara terbuka dalam file konfigurasi.

Proton Technologies mengklarifikasi: "Ini tidak digunakan untuk otentikasi baik server ke klien atau sebaliknya - ada sistem terpisah di tempat untuk menangani fungsi-fungsi tersebut. Dengan demikian, memiliki informasi ini tidak memberdayakan penyerang untuk menyamar sebagai server / pengguna atau MITM [Man in the Middle attack] koneksi. "

Set audit kedua dilakukan pada Agustus 2019, kali ini untuk aplikasi iOS dan MacOS.

Audit MacOS tidak menemukan kerentanan dan audit iOS hanya menemukan dua kerentanan risiko rendah. Salah satu kerentanan ini diperbaiki dan yang lainnya, "Aplikasi Seluler Berjalan di Jailbroken atau Perangkat Berakar" diterima.

Dalam catatan pada keputusan untuk tidak mengatasi kerentanan risiko rendah ini, Proton Technologies mengatakan: "Kami tidak akan memperbaiki karena tidak ada satu solusi untuk mendeteksi andal jika perangkat iOS telah di-jailbreak atau di-root. Selain itu, kami berharap pengguna bertanggung jawab atas keamanan perangkat mereka setelah di-jailbreak atau di-root. ”

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me