Il 21 gennaio 2020 il provider VPN ProtonVPN ha annunciato di aver commissionato un audit di sicurezza indipendente, condotto dalla società di consulenza di sicurezza SEC Consult.

ProtonVPN, di proprietà della società madre Proton Technologies AG, ha reso pubblica una versione ridotta di questo audit (contenente tutte le potenziali vulnerabilità). Chiunque può visualizzare i risultati per Android, iOS, MacOS e Windows sul proprio sito Web.

Ogni rapporto di audit esamina le potenziali vulnerabilità di sicurezza di un'app sia prima che dopo l'indagine della SEC Consult.

Su tutte le piattaforme, la consultazione ha riscontrato solo vulnerabilità a rischio medio e basso. Nel rapporto SEC Consult conferma che tutte queste vulnerabilità sono state risolte o accettate da Proton Technologies.

Nei casi in cui le vulnerabilità sono state accettate anziché risolte, Proton Technologies ha fornito commenti nel rapporto che spiega questa decisione.

L'audit è stato svolto su base "timebox". Ciò significa che SEC Consult ha cercato le vulnerabilità nell'app per un determinato periodo di tempo, in questo caso un periodo di sei giorni per ogni app.

Sebbene questo approccio significhi che l'audit di sicurezza non può essere considerato completo, ProtonVPN ha inoltre reso open source tutte e quattro le app, consentendo a eventuali professionisti della sicurezza o utenti di ispezionare il codice per individuare eventuali vulnerabilità.

ProtonVPN afferma di essere "il primo provider VPN a rilasciare il suo codice sorgente su tutte le piattaforme e condurre un controllo di sicurezza indipendente".

NordVPN, ExpressVPN, Surfshark e Tunnelbear sono tra gli altri provider VPN per eseguire controlli di sicurezza su alcune o tutte le loro app.

Esistono anche altre VPN, come AirVPN e Mullvad, che sviluppano app completamente open source.

Mullvad ha anche intrapreso un audit di sicurezza, sebbene non su iOS, per il quale non ha un'app.

ProtonVPN potrebbe non essere l'unica VPN a essere stata sottoposta a audit indipendenti e aver reso open source tutte le sue app, ma ora è all'avanguardia.

Parlando sull'annuncio, il redattore di Top10VPN.com Callum Tennent ha dichiarato: "Siamo lieti di vedere i passi che ProtonVPN ha intrapreso. La trasparenza e la fiducia sono così importanti per una VPN e la combinazione di un audit esterno indipendente e un prodotto open source è una grande rassicurazione.

"Speriamo sinceramente che un maggior numero di VPN abbia un approccio simile. Gli audit sono diventati sempre più comuni ed è una certezza che il numero di provider VPN sottoposti a loro aumenterà nel 2020 - ma la programmazione open source è ancora stranamente rara.

"Con gli occhi degli hacker e degli appassionati di privacy del mondo ora fissati esattamente sul codice sorgente di ProtonVPN, non abbiamo dubbi che sarà un prodotto più sicuro e sicuro che mai."

Usare software open source e consentire a terze parti fidate di controllare sia il loro software che i loro processi sono due metodi che i provider VPN hanno provato a usare per creare fiducia con i loro utenti.

In una dichiarazione sull'audit, Andy Yen, CEO di ProtonVPN, ha dichiarato: “I servizi VPN possono accedere tecnicamente ad alcuni dati utente molto sensibili, motivo per cui gli utenti dovrebbero scegliere servizi con track record per trasparenza e sicurezza.

Foto del co-fondatore e CEO di ProtonVPN, Andy Yen

Co-fondatore e CEO di ProtonVPN, Andy Yen

"Questa fiducia deve essere guadagnata e, pubblicando il nostro codice, speriamo di dimostrare il nostro impegno per andare sempre al di là quando si tratta di sicurezza e mettere gli utenti al primo posto."

Controllando la sicurezza delle sue app, ProtonVPN ha contribuito a garantire agli utenti la sicurezza del proprio servizio. Tuttavia, poiché questo controllo riguarda i clienti e non le pratiche di registrazione di ProtonVPN, non può garantire che il provider VPN faccia esattamente ciò che dice nella sua politica sulla privacy.

È sempre consigliabile che gli utenti esaminino il contenuto di un controllo, poiché spesso indagano in un ambito predefinito, che potrebbe non includere determinate app o criteri.

Un ulteriore controllo sul lato server sarebbe necessario per dimostrare che ProtonVPN è conforme alla sua politica di registrazione.

Gli audit delle app per Android e Windows sono stati effettuati nel primo trimestre del 2019 ed entrambi hanno restituito una classificazione del rischio iniziale del supporto da parte del revisore.

SEC Consult ha identificato quattro vulnerabilità a basso rischio e una vulnerabilità ad alto rischio nell'app Android, oltre a due vulnerabilità a basso rischio e due vulnerabilità a rischio medio nell'app desktop.

Nell'app Android, sono state risolte tutte le vulnerabilità, tranne due a basso rischio, denominate "Messaggi di debug abilitati" e "Credenziali codificate / Crittografia dei dati imperfetta".

La prima vulnerabilità Android accettata da Proton Technologies è stata la presenza di messaggi di debug contenenti dati potenzialmente sensibili, in particolare le credenziali del protocollo OpenVPN e IKEv2.

Proton Technologies considera queste informazioni a basso rischio, in quanto "progettate per essere separate dalle credenziali dell'account di un utente". Inoltre, afferma che questo registro di debug è al di fuori del controllo dell'app stessa.

L'altra vulnerabilità accettata da Proton Technologies su Android è la presenza di credenziali nel file binario dell'app che, insieme a un ID dispositivo univoco, potrebbero essere utilizzate per decrittografare i dati dall'app. Proton Technologies AG ha risposto a questo affermando che queste credenziali vengono utilizzate per inviare report delle eccezioni al proprio sistema di registrazione, aggiungendo che "l'endpoint API per i report è raramente limitato [sic]".

Su Windows, sono state risolte entrambe le vulnerabilità a basso rischio e sono state accettate entrambe le vulnerabilità a medio rischio.

Una vulnerabilità accettata ma non risolta da Proton Technologies è stata l'archiviazione persistente di token di sessione di testo semplice e credenziali VPN. Il provider VPN ha risposto affermando che "i garbage collector .NET e GO sono al di fuori del nostro controllo e non c'è modo di forzarli deterministicamente a cancellare la memoria inutilizzata".

I token di sessione e le credenziali VPN archiviate in questo scenario vengono invalidati immediatamente al logout.

SEC Consult ha inoltre identificato una potenziale vulnerabilità nella codifica hardware delle credenziali nell'app. Proton Technologies ha accettato ma non ha risolto questa vulnerabilità, affermando che le credenziali sono chiavi TLS-auth di OpenVPN, che sono già distribuite apertamente in file di configurazione.

Proton Technologies ha chiarito: “Non viene utilizzato per l'autenticazione da server a client o viceversa - esistono sistemi separati per gestire tali funzioni. Pertanto, avere queste informazioni non autorizza un attaccante a impersonare un server / utente o MITM [Man in the Middle attack] una connessione. "

Una seconda serie di audit è stata effettuata nell'agosto 2019, questa volta per le app iOS e MacOS.

Il controllo MacOS non ha rilevato vulnerabilità e il controllo iOS ha rilevato solo due vulnerabilità a basso rischio. Una di queste vulnerabilità è stata risolta e l'altra, "Esecuzioni di app mobili su jailbreak o dispositivo root" è stata accettata.

In una nota sulla decisione di non affrontare questa vulnerabilità a basso rischio, Proton Technologies ha dichiarato: “Non ripareremo in quanto non esiste una soluzione per rilevare in modo affidabile se un dispositivo iOS è stato sottoposto a jailbreak o root. Inoltre, ci aspettiamo che gli utenti siano responsabili della sicurezza del proprio dispositivo una volta effettuato il jailbreak o il root ".

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me