Den 21. januar 2020 annoncerede VPN-udbyderen ProtonVPN, at den havde bestilt en uafhængig sikkerhedsrevision, der blev foretaget af sikkerhedskonsulentfirmaet SEC Consult.

ProtonVPN, der ejes af moderselskabet Proton Technologies AG, har offentliggjort en forkortet version af denne revision (der indeholder alle potentielle sårbarheder). Alle kan se resultaterne for Android, iOS, MacOS og Windows på sit websted.

Hver revisionsrapport gennemgår potentielle sikkerhedssårbarheder i en app både før og efter SEC Consult's undersøgelse.

På alle platforme fandt konsultationen kun sårbarheder med lav og mellemlang risiko. I rapporten bekræfter SEC Consult, at alle disse sårbarheder enten er blevet rettet eller accepteret af Proton Technologies.

I tilfælde, hvor sårbarheder er blevet accepteret snarere end rettet, har Proton Technologies leveret kommentar i rapporten, der forklarer denne beslutning.

Revisionen blev foretaget på en "tidskasse" -basis. Dette betyder, at SEC Consult kiggede efter sårbarheder i appen i en bestemt tidsperiode - i dette tilfælde en periode på seks dage for hver app.

Mens denne tilgang betyder, at sikkerhedsrevisionen ikke kan betragtes som omfattende, har ProtonVPN desuden gjort alle fire apps open source, hvilket giver alle sikkerhedsfolk eller brugere mulighed for at inspicere koden for sårbarheder.

ProtonVPN hævder at være "den første VPN-udbyder, der frigiver sin kildekode på alle platforme og udfører en uafhængig sikkerhedsrevision."

NordVPN, ExpressVPN, Surfshark og Tunnelbear er blandt de andre VPN-udbydere til at foretage sikkerhedsrevisioner af nogle af eller alle deres apps.

Der er også andre VPN'er, såsom AirVPN og Mullvad, som udvikler helt open source-apps.

Mullvad har også foretaget en sikkerhedsrevision - skønt ikke på iOS, som den ikke har en app til.

ProtonVPN er muligvis ikke den eneste VPN, der har gennemgået uafhængige revisioner og gjort alle dens apps open source, men det er nu førende i feltet.

I en tale om meddelelsen sagde redaktør af Top10VPN.com Callum Tennent: ”Vi er glade for at se de trin, ProtonVPN har taget. Gennemsigtighed og tillid er så vigtig for en VPN, og kombinationen af ​​en uafhængig ekstern revision og et open source-produkt er en enorm forsikring.

”Vi håber inderligt, at flere VPN'er tager en lignende tackling. Revisioner er blevet mere og mere almindelige, og det er en sikkerhed, at antallet af VPN-udbydere, der gennemgår dem, vil stige i 2020 - men open source-programmering er stadig underligt sjældent.

"Med øjnene på verdens hackere og privacy buffs, der nu er fast placeret på ProtonVPNs kildekode, er vi ikke i tvivl om, at det vil være et sikrere og mere sikkert produkt end nogensinde."

Brug af open source-software og tilladelse af betroede tredjeparter at revidere både deres software og processer er to metoder, VPN-udbydere har forsøgt at bruge til at opbygge tillid hos deres brugere.

I en erklæring om revisionen sagde ProtonVPN-administrerende direktør Andy Yen: ”VPN-tjenester kan teknisk få adgang til nogle meget følsomme brugerdata, hvorfor brugerne skal vælge tjenester med en track record for gennemsigtighed og sikkerhed.

Foto af ProtonVPN co-grundlægger og CEO, Andy Yen

ProtonVPN co-grundlægger og CEO, Andy Yen

”Denne tillid skal opnås, og ved at offentliggøre vores kode håber vi at demonstrere vores engagement i at altid gå ud over, når det kommer til sikkerhed og sætte brugerne først.”

Ved at kontrollere sikkerheden af ​​sine apps har ProtonVPN hjulpet med at forsikre brugerne om, at dens service er sikker. Men da denne revision er af klienterne og ikke ProtonVPNs logpraksis, kan den ikke garantere, at VPN-udbyderen gør nøjagtigt, hvad den siger i sin privatlivspolitik.

Det tilrådes altid for brugere at undersøge indholdet af en revision, da de ofte undersøger inden for et foruddefineret omfang, som muligvis ikke inkluderer bestemte apps eller politikker.

En yderligere revision på serversiden ville være nødvendig for at bevise, at ProtonVPN er i overensstemmelse med dens logpolitik.

Android- og Windows-apprevisioner blev foretaget i 1. kvartal 2019, og begge returnerede en indledende risikoklassificering af medium fra revisoren.

SEC Consult identificerede fire sårbarheder med lav risiko og en sårbarhed med høj risiko i Android-appen, samt to sårbarheder med lav risiko og to sårbarheder med mellemrisiko i desktopappen.

I Android-appen blev alle, undtagen to sårbarheder med lav risiko, rettet, med titlen "Debug Messages Enabled" og "Hardcoded Credentials / Imperfect Data Encryption."

Den første Android-sårbarhed, der blev accepteret af Proton Technologies, var tilstedeværelsen af ​​fejlfindingsmeddelelser, der indeholder potentielt følsomme data - specifikt OpenVPN- og IKEv2-protokolloplysninger..

Proton Technologies betragter denne information som lav risiko, da den er "designet til at være adskilt fra en brugers kontooplysninger." Desuden siger den, at denne fejlfindingslog er uden for selve appens kontrol.

Den anden sårbarhed, der er accepteret af Proton Technologies på Android, er tilstedeværelsen af ​​legitimationsoplysninger i appens binære, som sammen med et unikt enheds-ID kunne bruges til at dekryptere data fra appen. Proton Technologies AG reagerede på dette ved at sige, at disse legitimationsoplysninger bruges til at sende undtagelsesrapporter til dets loggingssystem, idet de tilføjede, at "API-slutpunktet til rapportering er sjældent begrænset [sic]."

På Windows blev begge sårbarheder med lav risiko fastlagt, og begge sårbarheder med mellemrisiko blev accepteret.

En sårbarhed, der blev accepteret, men ikke rettet af Proton Technologies, var den dvælende lagring af simpeltheds-tokens og VPN-legitimationsoplysninger. VPN-udbyderen svarede ved at oplyse, at ". NET- og GO-affaldsopsamlere er uden for vores kontrol, og der er ingen måde at deterministisk tvinge dem til at rydde ubrugt hukommelse."

Sessionstokens og VPN-legitimationsoplysninger, der er gemt i dette scenarie, annulleres straks efter udlogging.

SEC Consult identificerede også en potentiel sårbarhed ved hardkodning af legitimationsoplysninger i appen. Proton Technologies accepterede, men løste ikke denne sårbarhed med angivelse af, at legitimationsoplysningerne er OpenVPN TLS-autor-nøgler, som allerede er distribueret åbent i konfigurationsfiler.

Proton Technologies præciserede: ”Det bruges ikke til godkendelse af hverken server til klient eller vice versa - der er separate systemer på plads til at håndtere disse funktioner. At have disse oplysninger giver ikke en angriberen beføjelse til at efterligne en server / bruger eller MITM [Man i midten angreb] en forbindelse. ”

Et andet sæt revisioner blev foretaget i august 2019, denne gang for iOS- og MacOS-apps.

MacOS-revisionen fandt ingen sårbarheder, og iOS-revisionen fandt kun to sårbarheder med lav risiko. Den ene af disse sårbarheder var rettet, og den anden, “Mobilapp-kørsler på Jailbroken eller rodet enhed” blev accepteret.

I en note om beslutningen om ikke at tackle denne sårbarhed med lav risiko, sagde Proton Technologies: “Vi vil ikke løse, da der ikke er nogen løsning til pålideligt at opdage, om en iOS-enhed er blevet fængslet eller rodfæstet. Desuden forventer vi, at brugere er ansvarlige for sikkerheden på deres enhed, når de er fængslet eller rodfæstet. ”

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me