A ProtonVPN VPN-szolgáltató 2020. január 21-én bejelentette, hogy megbíz egy független biztonsági ellenőrzést, amelyet a SEC Consult biztonsági tanácsadó cég végez..

A Proton Technologies AG anyavállalat tulajdonában lévő ProtonVPN nyilvánosságra hozta az ellenőrzés rövidített változatát (amely tartalmazza az összes lehetséges sebezhetőséget). Bárki megtekintheti az Android, iOS, MacOS és Windows eredményeit a webhelyén.

Minden ellenőrzési jelentés áttekinti egy alkalmazás lehetséges biztonsági réseit a SEC Consult vizsgálata előtt és után.

A konzultáció az összes platformon csak alacsony és közepes kockázatú sebezhetőségeket talált. A SEC Consult a jelentésben megerősíti, hogy ezeket a sebezhetőségeket javították vagy elfogadták a Proton Technologies.

Azokban az esetekben, amikor a sebezhetőségeket inkább elfogadták, mint javították, a Proton Technologies megjegyzést fűzött a jelentéshez, amelyben magyarázza ezt a döntést.

Az ellenőrzést „időrend” alapon végezték. Ez azt jelenti, hogy a SEC Consult meghatározott ideig kereste az alkalmazás sebezhetőségét - ebben az esetben hat napos időszakot az egyes alkalmazásokhoz.

Noha ez a megközelítés azt jelenti, hogy a biztonsági ellenőrzés nem tekinthető átfogónak, a ProtonVPN emellett mind a négy alkalmazást nyílt forráskódúvá tette, lehetővé téve a biztonsági szakembereknek vagy a felhasználóknak, hogy ellenőrizzék a kódot.

A ProtonVPN azt állítja, hogy „az első VPN-szolgáltató, amely minden platformon kiadja forráskódját, és független biztonsági ellenőrzést végez”.

A NordVPN, az ExpressVPN, a Surfshark és az Tunnelbear egyebek között azok a VPN-szolgáltatók, amelyek alkalmazásuk egy részének vagy egészének biztonsági ellenőrzését végzik..

Vannak más VPN-k is, például az AirVPN és a Mullvad, amelyek teljesen nyílt forrású alkalmazásokat fejlesztenek ki.

A Mullvad biztonsági ellenőrzést is elvégezett - bár nem iOS rendszeren, amelyhez még nincs alkalmazás.

Lehet, hogy a ProtonVPN nem az egyetlen VPN, amely független ellenőrzéseken ment keresztül, és az összes alkalmazását nyílt forrásúvá tette, de most vezeti a terepet.

A bejelentésről a Top10VPN.com szerkesztője, Callum Tennent elmondta: „Örülünk, hogy látjuk a ProtonVPN által megtett lépéseket. Az átláthatóság és a bizalom annyira fontos a VPN számára, és a független külső ellenőrzés és a nyílt forrású termék kombinációja hatalmas megnyugvást jelent.

„Őszintén reméljük, hogy több VPN fog hasonló irányba lépni. Az ellenőrzések egyre gyakoribbá válnak, és egyértelmű, hogy a VPN-szolgáltatók száma 2020-ban növekszik - de a nyílt forráskódú programozás különösképpen ritka..

"A világ hackereinek és adatvédelmi rajongóinak a mostanában egyenesen rögzített ProtonVPN forráskódjára nézve nem kétséges, hogy biztonságosabb és biztonságosabb termék lesz, mint valaha."

Két módszer, amelyet a VPN-szolgáltatók megkíséreltek használni a felhasználókkal szembeni bizalom kiépítésére: a nyílt forráskódú szoftver használata és a megbízható harmadik felek számára a szoftver és a folyamatok ellenőrzése.

Az ellenõrzésrõl szóló nyilatkozatában Andy Yen a ProtonVPN vezérigazgatója elmondta: „A VPN-szolgáltatások technikailag hozzáférhetnek nagyon érzékeny felhasználói adatokhoz, ezért a felhasználóknak az átláthatóság és a biztonság érdekében olyan szolgáltatásokat kell választaniuk, amelyek eddigi tapasztalataik vannak..

Fotó: ProtonVPN alapítója és vezérigazgatója, Andy Yen

A ProtonVPN alapítója és vezérigazgatója, Andy Yen

"Ezt a bizalmat ki kell szerezni, és a kódexünk közzétételével reméljük, hogy megmutatjuk elkötelezettségünket az iránt, hogy a biztonság és a felhasználók első helyezése során mindig túlmutatunk és túl lépjünk."

Az alkalmazások biztonságának ellenőrzésével a ProtonVPN elősegítette a felhasználók biztonságának garantálását. Mivel ez az ellenőrzés az ügyfelekre vonatkozik, nem pedig a ProtonVPN naplózási gyakorlatára, nem garantálja, hogy a VPN-szolgáltató pontosan azt cselekszi, amit az adatvédelmi irányelveiben mond..

A felhasználók számára mindig tanácsos az ellenőrzés tartalmát kivizsgálni, mivel gyakran előre meghatározott körön belül vizsgálják meg, amely nem tartalmazhat bizonyos alkalmazásokat vagy irányelveket..

További szerveroldali ellenőrzésre lenne szükség annak bizonyításához, hogy a ProtonVPN megfelel-e naplózási politikájának.

Az Android és a Windows alkalmazás ellenőrzését 2019 első negyedévében hajtották végre, és mindkettő a médium kezdeti kockázati besorolását adta vissza a könyvvizsgálótól.

A SEC Consult négy alacsony kockázatú és egy magas kockázatú sebezhetőséget azonosított az Android alkalmazásban, valamint két alacsony kockázatú és két közepes kockázatú biztonsági rést az asztali alkalmazásban.

Az Android alkalmazásban mindössze két alacsony kockázattal járó sebezhetőséget kijavítottak: „Hibaüzenetek engedélyezve” és „Hardcoded hitelesítő adatok / Hiányos adattitkosítás”.

Az első Android biztonsági rést, amelyet a Proton Technologies elfogadott, potenciálisan érzékeny adatokat tartalmazó hibakeresési üzenetek jelentették - különös tekintettel az OpenVPN és az IKEv2 protokoll hitelesítő adataira..

A Proton Technologies ezt az információt alacsony kockázatúnak tekinti, mivel „úgy van kialakítva, hogy elkülönüljön a felhasználói fiókok hitelesítő adataitól”. Ezenkívül kijelenti, hogy ez a hibakeresési napló magán az alkalmazáson kívül esik át..

A másik sebezhetőség, amelyet a Proton Technologies az Androidon elfogadott, a hitelesítő adatok jelenléte az alkalmazás bináris fájljában, amelyek az egyedi eszköz azonosítóval együtt felhasználhatók az adatok alkalmazásból való visszafejtésére. A Proton technologies AG erre válaszolt, mondván, hogy ezeket a hitelesítő adatokat kivételjelentések küldésére használják a naplózási rendszeréhez, hozzáadásával, hogy „a jelentési API végpontja ritkán korlátozott [sic]”.

Windows rendszeren mindkét alacsony kockázatú biztonsági rést rögzítették, és mindkét közepes kockázatú biztonsági rést elfogadták.

Az egyik sebezhetőség, amelyet a Proton Technologies nem fogadott el, a sima szöveges munkamenet-tokenek és a VPN-hitelesítő adatok tartós tárolása volt. A VPN-szolgáltató azzal válaszolt, hogy ".NET és GO szemetesgyűjtők nem állnak ellenőrzésünk alatt, és nincs mód arra, hogy determinisztikusan kényszerítsék őket a kihasználatlan memória törlésére".

Az ebben a forgatókönyvben tárolt munkamenet-tokenek és VPN-hitelesítő adatok azonnal kijelentkezéskor érvénytelenek.

A SEC Consult felismert egy lehetséges biztonsági rést is az alkalmazás hitelesítő adatainak kódolása során. A Proton Technologies elfogadta, de nem oldotta meg a biztonsági rést, kijelentve, hogy a hitelesítő adatok OpenVPN TLS-auth kulcsok, amelyeket már nyíltan elosztanak a konfigurációs fájlokban.

A Proton Technologies tisztázta: „Nem használják sem szerver, mind kliens hitelesítésére, és fordítva - külön rendszerek vannak a funkciók kezelésére. Ezért ezen információk megszerzése nem teszi lehetővé a támadók számára, hogy megszemélyesítsék a szervert / felhasználót vagy a MITM-et (a középtámadásban részt vevő ember) a kapcsolatot. ”

Az ellenőrzések második sorozatát 2019 augusztusában hajtották végre, ezúttal az iOS és a MacOS alkalmazások esetében.

A MacOS-audit nem talált sebezhetőséget, az iOS-ellenőrzés csak két alacsony kockázatú hibát talált. Ezen biztonsági rések egyikét kijavították, a másikot pedig a „Mobile App fut a Jailbroken vagy a gyökeres eszközön” elfogadták.

A proton Technologies az alacsony kockázatú sérülékenység kezelésének elutasításáról szóló jegyzetében kijelentette: „Nem javítunk, mivel nincs egyetlen megoldás annak megbízható felismerésére, hogy egy iOS-eszköz feltörése vagy gyökereződött-e. Ezenkívül arra számítunk, hogy a felhasználók felelõsek legyenek eszközük biztonságáért, mihelyt áttörik vagy gyökerezik. ”

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me