21. januarja 2023 je ponudnik VPN ProtonVPN sporočil, da je naročil neodvisno varnostno revizijo, ki jo je izvedlo varnostno svetovalno podjetje SEC Consult.
Podjetje ProtonVPN, ki je v lasti matične družbe Proton Technologies AG, je objavilo skrajšano različico te revizije (ki vsebuje vse potencialne ranljivosti). Vsakdo si lahko na svojem spletnem mestu ogleda rezultate za Android, iOS, MacOS in Windows.
Vsako revizijsko poročilo pregleda morebitne varnostne ranljivosti aplikacije pred in po preiskavi SEC Consulta.
Na vseh platformah je posvetovanje ugotovilo le ranljivosti z majhnim in srednje velikim tveganjem. V poročilu SEC Consult potrjuje, da je Proton Technologies vse te ranljivosti odpravila ali sprejela.
V primerih, ko so bile ranljivosti sprejete in ne odpravljene, je družba Proton Technologies v poročilu podala komentar s to odločitvijo.
Revizija je bila izvedena na podlagi „časovnega okvira“. To pomeni, da je SEC Consult določeno obdobje iskal ranljivosti v aplikaciji – v tem primeru šest dni za vsako aplikacijo.
Čeprav ta pristop pomeni, da varnostne presoje ni mogoče obravnavati kot celovito, je ProtonVPN poleg tega vse štiri aplikacije odprtokodno omogočil vsem varnostnim strokovnjakom ali uporabnikom, da pregledajo kodo glede ranljivosti.
ProtonVPN trdi, da je “prvi ponudnik VPN-ja, ki je izdal svojo izvorno kodo na vseh platformah in opravil neodvisno varnostno revizijo.”
NordVPN, ExpressVPN, Surfshark in Tunnelbear so med drugimi ponudniki VPN, ki izvajajo revizije varnosti nekaterih ali vseh njihovih aplikacij.
Obstajajo tudi drugi VPN-ji, na primer AirVPN in Mullvad, ki razvijajo popolnoma odprtokodne aplikacije.
Mullvad je opravil tudi varnostno revizijo – čeprav ne na iOS-u, za katerega nima aplikacije.
ProtonVPN morda ni edini VPN, ki je bil podvržen neodvisnim revizijam in naredil vse svoje aplikacije odprtokodne, vendar zdaj vodi na tem področju.
Ob objavi je urednik Top10VPN.com Callum Tennent dejal: „Veseli nas, če vidimo korake, ki jih je sprejel ProtonVPN. Preglednost in zaupanje sta za VPN tako pomembna, kombinacija neodvisne zunanje revizije in odprtokodnega izdelka pa je veliko zagotovilo.
»Iskreno upamo, da se več VPN-jev loti podobnega. Revizije postajajo vse pogostejše in gotovo je, da se bo število ponudnikov VPN, ki jih izvajajo, v letu 2023 povečalo, vendar je odprtokodno programiranje še vedno nenavadno..
“Z očmi hekerjev in ljubiteljev zasebnosti po svetu, ki so zdaj že neposredno pritrjeni na izvorno kodo ProtonVPN, ne dvomimo, da bo varnejši in varnejši izdelek kot kdaj koli prej.”
Uporaba odprtokodne programske opreme in omogočanje zaupanja vrednim tretjim osebam, da pregledajo svojo programsko opremo in procese, sta dve metodi, ki jih ponudniki VPN poskušajo uporabiti za izgradnjo zaupanja pri svojih uporabnikih.
V izjavi o reviziji je izvršni direktor ProtonVPN Andy Yen dejal: „Storitve VPN lahko tehnično dostopajo do nekaterih zelo občutljivih uporabniških podatkov, zato morajo uporabniki izbrati storitve s pregledom preglednosti in varnosti.
Soustanovitelj ProtonVPN in izvršni direktor, Andy Yen
“To zaupanje je treba pridobiti in z objavo naše kode upamo, da bomo pokazali svojo zavezanost, da bomo vedno šli naprej in naprej, ko gre za varnost in postavljanje uporabnikov na prvo mesto.”
Z revizijo varnosti svojih aplikacij je ProtonVPN uporabnikom pomagal zagotoviti, da je njegova storitev varna. Ker pa je ta revizija odjemalcev in ni praksa beleženja ProtonVPN, ne more zagotoviti, da bo ponudnik VPN naredil natanko tako, kot piše v svoji politiki zasebnosti.
Uporabniki so vedno priporočljivi, da raziščejo vsebino revizije, saj pogosto preiskujejo vnaprej določen obseg, ki morda ne vključuje nekaterih aplikacij ali pravilnikov.
Nadaljnja revizija na strani strežnika bi bila potrebna, da se dokaže, da ProtonVPN izpolnjuje svojo politiko beleženja.
Revizije aplikacij za Android in Windows so bile izvedene v prvem četrtletju 2023 in obe sta od revizorja vrnili prvotno klasifikacijo tveganja za medij.
SEC Consult je v aplikaciji Android ugotovil štiri ranljivosti z majhnim tveganjem in eno ranljivost z visokim tveganjem ter dve ranljivosti z majhnim tveganjem in dve ranljivosti z majhnim tveganjem v namizni aplikaciji.
V aplikaciji Android so bile odpravljene vse ranljivosti z majhnim tveganjem, razen z naslovom »Sporočila o napakah so omogočena« in »Trdi kodirani poverilnice / nepopolna šifriranje podatkov«.
Prva ranljivost za Android, ki jo je Proton Technologies sprejela, je bila prisotnost odpravljalnih sporočil, ki vsebujejo potencialno občutljive podatke – zlasti OpenVPN in IKEv2 poverilnice protokola.
Proton Technologies meni, da so te informacije nizko tvegane, saj so “zasnovane tako, da so ločene od uporabniških podatkov uporabniškega računa.” Poleg tega navaja, da ta dnevnik napak ni pod nadzorom same aplikacije..
Druga ranljivost, ki jo Proton Technologies v Androidu sprejema, je prisotnost poverilnic v dvojiški datoteki aplikacije, ki bi jih skupaj z edinstvenim ID-jem naprave lahko uporabili za dešifriranje podatkov iz aplikacije. Proton technology AG je na to odgovoril z navedbo, da se te poverilnice uporabljajo za pošiljanje poročil o izjemah v njegov sistem beleženja, in dodal, da je “končna točka API-ja za poročanje redko omejena [sic].”
V operacijskem sistemu Windows sta bili popravljeni obe ranljivosti z majhnim tveganjem in sprejeti sta bili obe ranljivosti s srednjim tveganjem.
Ena od ranljivosti, ki jo je Proton Technologies sprejela, a je ni odpravila, je dolgotrajno shranjevanje navadnih žeton sej besedila in poverilnic VPN. Ponudnik VPN se je odzval z navedbo, da “.NET in GO zbiralci smeti niso pod našim nadzorom in jih ni mogoče prisiliti, da izbrišejo neuporabljen pomnilnik.”
Žetoni seje in poverilnice VPN, shranjene v tem scenariju, so neveljavne takoj po odjavi.
SEC Consult je odkril tudi potencialno ranljivost pri trdem kodiranju poverilnic v aplikaciji. Proton Technologies je sprejela, vendar te ranljivosti ni odpravila, in navedla, da so poverilnice OpenVPN TLS-auth ključi, ki se že odprto distribuirajo v konfiguracijskih datotekah.
Proton Technologies je pojasnil: “Ne uporablja se za overjanje strežnika do odjemalca ali obratno – obstajajo ločeni sistemi za upravljanje teh funkcij. Tako, če ima te podatke, napadalec ne pooblasti, da bi lažje predstavljal strežnik / uporabnika ali MITM (človek v napadu na sredini). “
Avgusta 2023 je bil izveden drugi sklop revizij, tokrat za iOS in MacOS.
Revizija MacOS ni našla ranljivosti, revizija iOS pa le dve ranljivosti z majhnim tveganjem. Ena od teh ranljivosti je bila odpravljena, druga pa je bila sprejeta, »Mobilna aplikacija deluje na Jailbroken ali ukoreninjeni napravi«..
Proton Technologies je v opombi o odločitvi, da se ne bo rešil te ranljivosti z majhnim tveganjem, dejal: “Ne bomo odpravili, saj ni nobene rešitve za zanesljivo odkrivanje, če je iOS naprava pokvarjena ali zakoreninjena. Poleg tega pričakujemo, da bodo uporabniki odgovorni za varnost svoje naprave, ko bodo že zlomili ali zakoreninjeni. “