Pada 21 Januari 2023 penyedia VPN ProtonVPN mengumumkan bahawa ia telah menugaskan audit keselamatan bebas, yang dijalankan oleh firma perunding keselamatan SEC Consult.
ProtonVPN, yang dimiliki oleh syarikat induk Proton Technologies AG, telah membuat versi ringkasan audit ini (mengandungi semua kelemahan potensi) awam. Sesiapa sahaja boleh melihat keputusan untuk Android, iOS, MacOS, dan Windows di laman webnya.
Setiap laporan audit mengkaji kelemahan keselamatan potensial aplikasi sebelum dan selepas penyiasatan SEC Consult.
Di seluruh platform, perundingan hanya mendapati kelemahan risiko rendah dan sederhana. Dalam laporan SEC Consult mengesahkan bahawa semua kelemahan ini sama ada yang telah ditetapkan atau diterima oleh Proton Technologies.
Dalam kes-kes di mana kelemahan telah diterima dan bukannya tetap, Proton Technologies telah membekalkan komen dalam laporan yang menerangkan keputusan ini.
Pengauditan itu dilaksanakan berdasarkan “kunci waktu”. Ini bermakna bahawa SEC Consult mencari kelemahan dalam aplikasi untuk jumlah masa yang ditetapkan – dalam kes ini tempoh enam hari untuk setiap aplikasi.
Walaupun pendekatan ini bererti pengawal keselamatan tidak boleh dianggap komprehensif, ProtonVPN telah menambah semua empat sumber terbuka sumber, membenarkan mana-mana profesional atau pengguna keselamatan untuk memeriksa kod untuk kelemahan.
ProtonVPN mendakwa sebagai “penyedia VPN pertama untuk melepaskan kod sumbernya pada semua platform dan menjalankan audit keselamatan bebas.”
NordVPN, ExpressVPN, Surfshark, dan Tunnelbear adalah antara penyedia VPN yang lain untuk menjalankan audit keselamatan beberapa atau semua aplikasinya.
Terdapat juga VPN lain, seperti AirVPN dan Mullvad, yang membangunkan aplikasi sumber terbuka sepenuhnya.
Mullvad juga telah menjalankan audit keselamatan – walaupun bukan pada iOS, yang tidak mempunyai aplikasinya.
ProtonVPN mungkin bukan satu-satunya VPN yang telah menjalani audit bebas dan menjadikan semua aplikasinya sebagai sumber terbuka, tetapi kini mengetuai medan.
Bercakap mengenai pengumuman itu, Editor of Top10VPN.com Callum Tennent berkata: “Kami gembira dapat melihat langkah-langkah yang diambil oleh ProtonVPN. Ketelusan dan kepercayaan adalah sangat penting untuk VPN, dan gabungan audit luar bebas dan produk sumber terbuka adalah jaminan yang besar.
“Kami sangat berharap agar lebih banyak VPN mengambil langkah yang sama. Pemeriksaan telah menjadi lebih dan lebih biasa, dan itu adalah kepastian bahawa bilangan penyedia VPN yang menjalani mereka akan meningkat pada tahun 2023 – tetapi pengaturcaraan sumber terbuka masih aneh.
“Dengan pandangan penggodam dan peminat privasi dunia sekarang telah ditetapkan dengan tepat pada kod sumber ProtonVPN, kami tidak ragu lagi bahawa ia akan menjadi produk yang lebih selamat dan lebih selamat berbanding sebelum ini.”
Menggunakan perisian sumber terbuka dan membenarkan pihak ketiga yang dipercayai untuk mengaudit kedua-dua perisian dan proses mereka adalah dua kaedah penyedia VPN telah cuba digunakan untuk membina kepercayaan dengan pengguna mereka.
Dalam satu kenyataan mengenai audit, Ketua Pegawai Eksekutif ProtonVPN Andy Yen berkata: “Perkhidmatan VPN secara teknikal dapat mengakses beberapa data pengguna yang sangat sensitif, oleh itu pengguna harus memilih perkhidmatan dengan rekod prestasi ketelusan dan keselamatan.
Pengasas dan Ketua Pegawai Eksekutif ProtonVPN, Andy Yen
“Kepercayaan ini mesti diperoleh, dan dengan menerbitkan kod kami, kami berharap dapat menunjukkan komitmen kami untuk sentiasa melangkah ke atas dan ke luar ketika datang ke keselamatan dan meletakkan pengguna terlebih dahulu.”
Dengan mengaudit keselamatan aplikasinya, ProtonVPN telah membantu memastikan pengguna perkhidmatannya selamat. Tetapi, kerana audit ini adalah pelanggan dan bukan amalan pembalakan ProtonVPN, ia tidak dapat menjamin bahawa pembekal VPN tidak betul-betul apa yang dikatakannya dalam dasar privasinya.
Ia sentiasa dinasihatkan untuk pengguna menyiasat kandungan audit, kerana mereka sering menyiasat dalam skop yang telah ditetapkan, yang mungkin tidak termasuk aplikasi atau dasar tertentu.
Satu lagi audit pelayan sisi diperlukan untuk membuktikan bahawa ProtonVPN mematuhi dasar pembalakannya.
Audit aplikasi Android dan Windows dijalankan pada Q1 2023, dan kedua-duanya mengembalikan klasifikasi risiko awal media dari juruaudit.
SEC Consult mengenal pasti empat kelemahan risiko rendah dan satu kelemahan risiko tinggi dalam apl Android, serta dua kelemahan risiko rendah dan dua kelemahan risiko sederhana dalam apl desktop.
Dalam apl Android, semua dua kelemahan risiko rendah telah ditetapkan, bertajuk “Mesej Debug Dihidupkan” dan “Kredensial Hardcoded / Penyulitan Data Tidak sempurna.”
Kerentanan Android pertama yang diterima oleh Proton Technologies adalah kehadiran mesej debug yang mengandungi data berpotensi sensitif – khususnya kelayakan protokol OpenVPN dan IKEv2.
Proton Technologies menganggap maklumat ini berisiko rendah, kerana ia “direka untuk menjadi berasingan daripada kelayakan akaun pengguna.” Selain itu, ia menyatakan log debug ini berada di luar kawalan apl itu sendiri.
Kelemahan lain yang diterima oleh Proton Technologies pada Android adalah kehadiran kelayakan dalam binari aplikasi yang, bersama-sama dengan ID peranti unik, boleh digunakan untuk mendekripsi data dari aplikasinya. Teknologi Proton AG bertindak balas dengan ini dengan mengatakan bahawa kelayakan ini digunakan untuk menghantar laporan pengecualian ke sistem pembalakannya, sambil menambah bahawa “titik akhir API untuk pelaporan jarang ditemui [sic].”
Di Windows, kedua-dua kelemahan risiko rendah telah ditetapkan dan kedua-dua kelemahan risiko sederhana diterima.
Satu kerentanan yang diterima tetapi tidak diperbetulkan oleh Proton Technologies adalah penyimpanan tetap butiran sesi teks biasa dan kelayakan VPN. Pembekal VPN bertindak balas dengan menyatakan bahawa “pengumpul sampah NET dan GO berada di luar kawalan kami dan tidak ada cara untuk menentukan secara tegas memaksa mereka untuk mengosongkan memori yang tidak digunakan.”
Token sesi dan bukti kelayakan VPN yang disimpan dalam senario ini tidak sah secara segera selepas log keluar.
SEC Consult juga mengenalpasti kelemahan potensi dalam pengekodan kelayakan ke dalam aplikasinya. Proton Technologies diterima tetapi tidak menyelesaikan kelemahan ini, menyatakan bahawa kelayakan adalah kunci OpenVPN TLS-auth, yang telah diedarkan secara terbuka dalam fail konfigurasi.
Proton Technologies menjelaskan: “Ia tidak digunakan untuk pengesahan sama ada pelayan kepada klien atau sebaliknya – terdapat sistem yang berasingan untuk mengendalikan fungsi tersebut. Jadi, setelah maklumat ini tidak memberi kuasa penyerang untuk menyamar sebagai server / pengguna atau MITM [Man dalam serangan Tengah] sambungan. “
Satu set audit kedua telah dijalankan pada Ogos 2023, kali ini untuk aplikasi iOS dan MacOS.
Audit MacOS tidak menemui kelemahan dan audit iOS mendapati hanya dua kelemahan risiko rendah. Salah satu kelemahan ini telah ditetapkan dan yang lain, “App Bergerak Berjalan pada Jailbroken atau Peranti Berakar” telah diterima.
Dalam nota mengenai keputusan untuk tidak menangani kelemahan risiko rendah ini, Proton Technologies berkata: “Kami tidak akan membaiki kerana tidak ada satu penyelesaian untuk mengesan dengan pasti jika peranti iOS telah dipecah atau didasarkan. Selain itu, kami menjangkakan pengguna bertanggungjawab terhadap keselamatan peranti mereka setelah dipecah atau di-root. “