Em 21 de janeiro de 2020, o provedor de VPN ProtonVPN anunciou que havia encomendado uma auditoria de segurança independente, realizada pela empresa de consultoria de segurança SEC Consult.

O ProtonVPN, de propriedade da empresa-mãe Proton Technologies AG, tornou pública uma versão abreviada desta auditoria (contendo todas as possíveis vulnerabilidades). Qualquer pessoa pode visualizar os resultados para Android, iOS, MacOS e Windows em seu site.

Cada relatório de auditoria analisa possíveis vulnerabilidades de segurança de um aplicativo antes e depois da investigação da SEC Consult.

Em todas as plataformas, a consulta encontrou apenas vulnerabilidades de baixo e médio risco. No relatório, a SEC Consult confirma que todas essas vulnerabilidades foram corrigidas ou aceitas pela Proton Technologies.

Nos casos em que vulnerabilidades foram aceitas e não corrigidas, a Proton Technologies fez comentários no relatório explicando esta decisão.

A auditoria foi realizada com base no "timebox". Isso significa que a SEC Consult procurou vulnerabilidades no aplicativo por um período de tempo definido - nesse caso, um período de seis dias para cada aplicativo.

Embora essa abordagem signifique que a auditoria de segurança não pode ser considerada abrangente, o ProtonVPN também tornou os quatro aplicativos de código aberto, permitindo que qualquer profissional ou usuário de segurança inspecione o código em busca de vulnerabilidades..

O ProtonVPN afirma ser "o primeiro provedor de VPN a liberar seu código fonte em todas as plataformas e realizar uma auditoria de segurança independente".

NordVPN, ExpressVPN, Surfshark e Tunnelbear estão entre os outros provedores de VPN para realizar auditorias de segurança de alguns ou de todos os seus aplicativos.

Existem também outras VPNs, como AirVPN e Mullvad, que desenvolvem aplicativos de código aberto completamente.

Mullvad também realizou uma auditoria de segurança - embora não no iOS, para a qual não possui um aplicativo..

O ProtonVPN pode não ser a única VPN que passou por auditorias independentes e tornou todos os seus aplicativos de código aberto, mas agora está liderando o campo.

Falando sobre o anúncio, o editor do Top10VPN.com Callum Tennent disse: "Estamos felizes em ver as etapas que o ProtonVPN tomou. Transparência e confiança são tão importantes para uma VPN, e a combinação de uma auditoria externa independente e um produto de código aberto é uma grande garantia.

“Esperamos sinceramente que mais VPNs adotem uma abordagem semelhante. As auditorias se tornam cada vez mais comuns, e é certo que o número de provedores de VPN submetidos a elas aumentará em 2020 - mas a programação de código aberto ainda é estranhamente incomum.

"Com os olhos dos hackers e fãs de privacidade do mundo agora fixos diretamente no código-fonte do ProtonVPN, não temos dúvidas de que será um produto mais seguro e seguro do que nunca".

Usar software de código aberto e permitir que terceiros confiáveis ​​auditem seus softwares e processos são dois métodos que os provedores de VPN tentaram usar para criar confiança com seus usuários.

Em um comunicado sobre a auditoria, o CEO da ProtonVPN, Andy Yen, disse: “Os serviços de VPN podem acessar tecnicamente alguns dados de usuários muito sensíveis, e é por isso que os usuários devem escolher serviços com histórico de transparência e segurança..

Foto do co-fundador e CEO da ProtonVPN, Andy Yen

Co-fundador e CEO da ProtonVPN, Andy Yen

"Essa confiança deve ser conquistada e, ao publicar nosso código, esperamos demonstrar nosso compromisso em sempre ir além do que diz respeito à segurança e colocar os usuários em primeiro lugar".

Ao auditar a segurança de seus aplicativos, o ProtonVPN ajudou a garantir aos usuários que seu serviço é seguro. Porém, como essa auditoria é dos clientes e não das práticas de logon do ProtonVPN, ela não pode garantir que o provedor de VPN faça exatamente o que diz em sua política de privacidade.

É sempre aconselhável que os usuários investiguem o conteúdo de uma auditoria, pois geralmente investigam dentro de um escopo predefinido, o que pode não incluir determinados aplicativos ou políticas.

Uma auditoria adicional no servidor seria necessária para provar que o ProtonVPN está em conformidade com sua política de registro em log.

As auditorias do aplicativo Android e Windows foram realizadas no primeiro trimestre de 2019 e ambas retornaram uma classificação de risco inicial do meio do auditor.

A SEC Consult identificou quatro vulnerabilidades de baixo risco e uma de alto risco no aplicativo Android, bem como duas de baixo risco e duas de risco médio no aplicativo de desktop.

No aplicativo Android, todas, exceto duas vulnerabilidades de baixo risco, foram corrigidas, intituladas "Mensagens de depuração ativadas" e "Credenciais codificadas permanentemente / Criptografia imperfeita de dados".

A primeira vulnerabilidade Android aceita pela Proton Technologies foi a presença de mensagens de depuração contendo dados potencialmente sensíveis - especificamente credenciais de protocolo OpenVPN e IKEv2.

A Proton Technologies considera essas informações como de baixo risco, pois são "projetadas para serem separadas das credenciais da conta de um usuário". Além disso, afirma que esse log de depuração está além do controle do próprio aplicativo.

A outra vulnerabilidade aceita pela Proton Technologies no Android é a presença de credenciais no binário do aplicativo que, junto com um ID de dispositivo exclusivo, podem ser usadas para descriptografar dados do aplicativo. A Proton technologies AG respondeu a isso dizendo que essas credenciais são usadas para enviar relatórios de exceção ao seu sistema de registro em log, acrescentando que "o terminal da API para relatórios é raro e limitado [sic]".

No Windows, as duas vulnerabilidades de baixo risco foram corrigidas e as duas vulnerabilidades de risco médio foram aceitas.

Uma vulnerabilidade aceita, mas não corrigida, pela Proton Technologies foi o armazenamento remanescente de tokens de sessão de texto sem formatação e credenciais de VPN. O provedor de VPN respondeu afirmando que "os coletores de lixo .NET e GO estão fora de nosso controle e não há como deterministicamente forçá-los a limpar a memória não utilizada".

Os tokens de sessão e credenciais de VPN armazenados neste cenário são invalidados imediatamente após o logout.

A SEC Consult também identificou uma vulnerabilidade em potencial na codificação codificada de credenciais no aplicativo. A Proton Technologies aceitou, mas não resolveu esta vulnerabilidade, afirmando que as credenciais são chaves OpenVPN TLS-auth, que já estão distribuídas abertamente nos arquivos de configuração.

A Proton Technologies esclareceu: “Não é usado para autenticação de servidor para cliente ou vice-versa - existem sistemas separados para lidar com essas funções. Portanto, ter essas informações não habilita um invasor a personificar um servidor / usuário ou o MITM [ataque do homem do meio] em uma conexão. ”

Um segundo conjunto de auditorias foi realizado em agosto de 2019, desta vez para os aplicativos iOS e MacOS.

A auditoria do MacOS não encontrou vulnerabilidades e a auditoria do iOS encontrou apenas duas vulnerabilidades de baixo risco. Uma dessas vulnerabilidades foi corrigida e a outra, "O aplicativo móvel é executado no dispositivo Jailbroken ou enraizado" foi aceito.

Em uma nota sobre a decisão de não solucionar essa vulnerabilidade de baixo risco, a Proton Technologies disse: “Não corrigiremos, pois não há uma solução para detectar com segurança se um dispositivo iOS foi desbloqueado ou enraizado. Além disso, esperamos que os usuários sejam responsáveis ​​pela segurança de seus dispositivos depois de desbloqueados ou enraizados. ”

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me