Den 21 januari 2020 tillkännagav VPN-leverantören ProtonVPN att den hade beställt en oberoende säkerhetsrevision, utförd av säkerhetskonsultföretaget SEC Consult.

ProtonVPN, som ägs av moderbolaget Proton Technologies AG, har offentliggjort en förkortad version av denna revision (som innehåller alla potentiella sårbarheter). Vem som helst kan se resultaten för Android, iOS, MacOS och Windows på sin webbplats.

Varje granskningsrapport granskar potentiella säkerhetsproblem i en app både före och efter SEC Consults utredning.

På alla plattformar hittade konsultationen endast sårbarheter med låg och medelhög risk. I rapporten bekräftar SEC Consult att alla dessa sårbarheter antingen har fixats eller accepterats av Proton Technologies.

I fall där sårbarheter har accepterats snarare än fixade har Proton Technologies lämnat kommentar i rapporten som förklarar detta beslut.

Revisionen genomfördes på en ”tidskassasbasis”. Detta innebär att SEC Consult letade efter sårbarheter i appen under en viss tid - i detta fall en period på sex dagar för varje app.

Medan detta tillvägagångssätt innebär att säkerhetsrevisionen inte kan betraktas som omfattande, har ProtonVPN dessutom gjort alla fyra apparna öppen källkod, vilket gör att alla säkerhetspersonal eller användare kan inspektera koden för sårbarheter.

ProtonVPN påstår sig vara "den första VPN-leverantören som släpper sin källkod på alla plattformar och genomför en oberoende säkerhetsrevision."

NordVPN, ExpressVPN, Surfshark och Tunnelbear är bland de andra VPN-leverantörerna för att utföra säkerhetsrevisioner av vissa eller alla deras appar.

Det finns också andra VPN, som AirVPN och Mullvad, som utvecklar helt öppna källkodsappar.

Mullvad har också genomfört en säkerhetsrevision - även om den inte är på iOS, som den inte har en app för.

ProtonVPN är kanske inte det enda VPN som har genomgått oberoende granskningar och gjort alla sina appar öppna källor, men det leder nu fältet.

Redaktören för Top10VPN.com Callum Tennent, som talade om tillkännagivandet, sa: ”Vi är glada över att se stegen som ProtonVPN har tagit. Öppenhet och förtroende är så viktigt för en VPN, och kombinationen av en oberoende extern revision och en öppen källkodsprodukt är en enorm försäkring.

”Vi hoppas verkligen att fler VPN: er tar en liknande tackling. Revisioner har blivit mer och mer vanliga, och det är en säkerhet att antalet VPN-leverantörer som genomgår dem kommer att öka 2020 - men öppen källkodsprogrammering är fortfarande konstigt ovanligt.

"Med hackarnas och världens sekretessbuffertar som nu är fixerade på ProtonVPNs källkod, är vi inte tveksamma om att det kommer att bli en säkrare och säkrare produkt än någonsin."

Att använda öppen källkodsprogramvara och låta betrodda tredje parter granska både programvaran och processerna är två metoder som VPN-leverantörer har försökt använda för att skapa förtroende hos sina användare.

I ett uttalande om revisionen sade ProtonVPN-verkställande direktör Andy Yen: ”VPN-tjänster kan tekniskt få åtkomst till mycket känslig användardata, varför användarna bör välja tjänster med en track record för öppenhet och säkerhet.

Foto av ProtonVPN-grundare och verkställande direktör, Andy Yen

ProtonVPN-grundare och VD Andy Yen

"Detta förtroende måste uppnås, och genom att publicera vår kod hoppas vi kunna visa vårt engagemang för att alltid gå utöver när det gäller säkerhet och att sätta användare först."

Genom att granska säkerheten för sina appar har ProtonVPN bidragit till att försäkra användare om att dess tjänst är säker. Men eftersom denna revision är av klienterna och inte ProtonVPNs loggningspraxis, kan den inte garantera att VPN-leverantören gör exakt vad den säger i sin sekretesspolicy.

Det är alltid tillrådligt för användare att undersöka innehållet i en granskning, eftersom de ofta undersöker inom ett fördefinierat tillämpningsområde, vilket kanske inte inkluderar vissa appar eller policyer.

En ytterligare revision på serversidan skulle vara nödvändig för att bevisa att ProtonVPN överensstämmer med sin loggningspolicy.

Android- och Windows-apprevisioner genomfördes under första kvartalet 2019, och båda gav en initial riskklassificering av medium från revisoren.

SEC Consult identifierade fyra sårbarheter med låg risk och en sårbarhet med hög risk i Android-appen, såväl som två sårbarheter med låg risk och två sårbarheter med medelhög risk i desktop-appen.

I Android-appen fixades alla utom två sårbarheter med låg risk, med titeln "Debug Messages Enabled" och "Hardcoded Credentials / Imperfect Data Encryption."

Den första Android-sårbarheten som accepterades av Proton Technologies var närvaron av felsökningsmeddelanden som innehåller potentiellt känslig information - specifikt OpenVPN- och IKEv2-protokollsuppgifter..

Proton Technologies anser att denna information är låg risk, eftersom den är "utformad för att vara separerad från användarens kontouppgifter." Dessutom säger den att felsökningsloggen är utanför själva appens kontroll..

Den andra sårbarheten som accepteras av Proton Technologies på Android är närvaron av referenser i appens binära som, tillsammans med ett unikt enhets-ID, kan användas för att dekryptera data från appen. Proton Technologies AG svarade på detta genom att säga att dessa referenser används för att skicka undantagsrapporter till dess loggningssystem, och tilllade att "API-slutpunkten för rapportering är sällsynt begränsad [sic]."

På Windows fixades båda lågriskkåreligheter och båda medelriskskydd accepterades.

En sårbarhet som accepterades men inte fixades av Proton Technologies var den långvariga lagringen av enkla textsessioner och VPN-referenser. VPN-leverantören svarade med att säga att ". NET och GO sopor samlare är utanför vår kontroll och det finns inget sätt att deterministiskt tvinga dem att rensa oanvänt minne."

Sessionstokens och VPN-referenser lagrade i detta scenario ogiltiga omedelbart efter utloggning.

SEC Consult identifierade också en potentiell sårbarhet vid hårdkodning av referenser till appen. Proton Technologies accepterade men löste inte denna sårbarhet och uppgav att referenser är OpenVPN TLS-autor-nycklar, som redan distribueras öppet i konfigurationsfiler.

Proton Technologies klargjorde: ”Det används inte för verifiering av varken server till klient eller vice versa - det finns separata system för att hantera dessa funktioner. Att ha denna information ger alltså inte en angripare möjlighet att efterge sig en server / användare eller MITM [Man in the Middle attack] en anslutning. ”

En andra uppsättning revisioner genomfördes i augusti 2019, den här gången för iOS- och MacOS-apparna.

MacOS-revisionen hittade inga sårbarheter och iOS-revisionen hittade bara två sårbarheter med låg risk. En av dessa sårbarheter var fixad och den andra, "Mobilapp körs på Jailbroken eller Rooting Device" accepterades.

I en kommentar om beslutet att inte ta itu med denna sårbarhet med låg risk sade Proton Technologies: ”Vi kommer inte att fixa eftersom det inte finns någon lösning för att pålitligt upptäcka om en iOS-enhet har fängslad eller rotats. Dessutom förväntar vi oss att användare ska vara ansvariga för säkerheten för sin enhet när de är fängslade eller rotade. ”

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me