VPN-palveluntarjoaja ProtonVPN ilmoitti 21. tammikuuta 2023 tilanneensa riippumattoman turvatarkastuksen, jonka suoritti tietoturvakonsultointiyritys SEC Consult.
Emoyhtiön Proton Technologies AG: n omistama ProtonVPN on julkistanut tarkastuksen lyhennetyn version (joka sisältää kaikki mahdolliset haavoittuvuudet). Kuka tahansa voi tarkastella Android-, iOS-, MacOS- ja Windows-tuloksia verkkosivustollaan.
Jokaisessa tarkastusraportissa tarkastellaan sovelluksen mahdollisia tietoturvahaavoja sekä ennen SEC Consultin tutkimusta että sen jälkeen.
Kaikilla alustoilla kuulemisessa havaittiin vain alhaisen ja keskitason riskit. SEC Consult vahvistaa raportissa, että Proton Technologies on joko korjannut tai hyväksynyt kaikki nämä haavoittuvuudet.
Tapauksissa, joissa haavoittuvuuksia on hyväksytty eikä korjattu, Proton Technologies on toimittanut kommentin raporttiin selittäen päätöksen.
Tarkastus suoritettiin aikataulun perusteella. Tämä tarkoittaa, että SEC Consult etsi sovelluksen haavoittuvuuksia asetetun ajan – tässä tapauksessa kuuden päivän jakso kustakin sovelluksesta.
Vaikka tämä lähestymistapa tarkoittaa, että tietoturvatarkastusta ei voida pitää kattavana, ProtonVPN on lisäksi tehnyt kaikista neljästä sovelluksesta avoimen lähdekoodin, minkä avulla tietoturvaammattilaiset tai käyttäjät voivat tarkistaa koodin haavoittuvuuksien varalta.
ProtonVPN väittää olevansa “ensimmäinen VPN-palveluntarjoaja, joka on julkaissut lähdekoodinsa kaikilla alustoilla ja suorittanut riippumattoman turvatarkastuksen”.
NordVPN, ExpressVPN, Surfshark ja Tunnelbear ovat muiden VPN-palveluntarjoajien joukossa tekemässä tietyn tai kaikkien sovellustensa turvatarkastuksia..
On myös muita VPN-verkkoja, kuten AirVPN ja Mullvad, jotka kehittävät täysin avoimen lähdekoodin sovelluksia.
Mullvad on myös suorittanut tietoturvatarkastuksen – tosin ei iOS: lla, jolle sillä ei ole sovellusta.
ProtonVPN ei ehkä ole ainoa VPN, joka on käynyt läpi riippumattomia auditointeja ja tehnyt kaikista sovelluksistaan avoimen lähdekoodin, mutta se johtaa nyt kenttää.
Top10VPN.com -edustaja Callum Tennent kertoi ilmoituksesta: ”Olemme iloisia nähdessämme ProtonVPN: n toteuttamat vaiheet. Läpinäkyvyys ja luottamus ovat niin tärkeitä VPN: lle, ja riippumattoman ulkoisen tarkastuksen ja avoimen lähdekoodin tuotteen yhdistelmä ovat valtava vakuutus.
”Toivomme vilpittömästi, että useammat VPN: t ottavat samanlaisen otteen. Tarkastuksista on tullut yhä yleisempiä, ja on varmaa, että niitä suorittavien VPN-palveluntarjoajien määrä kasvaa vuonna 2023 – mutta avoimen lähdekoodin ohjelmointi on edelleen omituisen harvinaista.
“Maailman hakkereiden ja yksityisyyden suojaa harrastavien henkilöiden silmissä, jotka on nyt kiinnitetty suoraan ProtonVPN: n lähdekoodiin, ei ole epäilystäkään siitä, että se on turvallisempi ja turvallisempi tuote kuin koskaan.”
Avoimen lähdekoodin ohjelmistojen käyttäminen ja luotettavien kolmansien osapuolten salliminen tarkastaa sekä heidän ohjelmistonsa että prosessinsa ovat VPN-palveluntarjoajien yrittämiä rakentaa luottamusta käyttäjiinsä käyttäjien kanssa..
ProtonVPN: n toimitusjohtaja Andy Yen totesi tarkastusta koskevassa lausunnossa: ”VPN-palvelut voivat teknisesti käyttää joitain erittäin arkaluonteisia käyttäjätietoja, minkä vuoksi käyttäjien on valittava läpinäkyvyyden ja tietoturvan mukaiset palvelut..
ProtonVPN-perustaja ja toimitusjohtaja Andy Yen
“Tämä luottamus on ansaittava, ja julkaisemalla koodimme, toivomme osoittavan sitoutumisemme etenemiseen aina turvallisuuden ylittämisen ja käyttäjien asettamisen edessä.”
Tarkastelemalla sovellustensa turvallisuutta ProtonVPN on auttanut käyttäjiä vakuuttamaan palvelunsa turvallisuuden. Mutta koska tämä tarkastus koskee asiakkaita eikä ProtonVPN: n kirjauskäytäntöjä, se ei voi taata, että VPN-palveluntarjoaja tekee täsmälleen sen, mitä sanotaan tietosuojakäytännössään.
Käyttäjien on aina suositeltavaa tutkia auditoinnin sisältö, koska he tutkivat usein ennalta määritellyssä laajuudessa, joka ei välttämättä sisällä tiettyjä sovelluksia tai käytäntöjä.
Lisäpalvelintarkastus olisi tarpeen osoittaa, että ProtonVPN noudattaa kirjauskäytäntöään.
Android- ja Windows-sovellusten auditoinnit tehtiin Q1 2023, ja molemmat palauttivat tilintarkastajalta alustavan riskiluokituksen.
SEC Consult tunnisti Android-sovelluksen neljä matalan riskin ja yhden riskin haavoittuvuutta sekä kaksi alhaisen riskin ja kaksi keskipitkän riskin haavoittuvuutta työpöytäsovelluksessa..
Android-sovelluksessa kaikki paitsi kaksi matalan riskin haavoittuvuuksia korjattiin, nimien ”Virheenkorjausviestit käytössä” ja ”Kovakoodatut valtuustiedot / epätäydellinen tietojen salaus”.
Ensimmäinen Proton Technologiesin hyväksymä Android-haavoittuvuus oli mahdollisesti arkaluonteisia tietoja sisältäviä virheenkorjausviestejä – erityisesti OpenVPN- ja IKEv2-protokollan käyttöoikeustiedot.
Proton Technologies pitää tätä tietoa vähäisenä riskinä, koska se on ”suunniteltu erillään käyttäjän tilitiedoista”. Lisäksi siinä todetaan, että tämä virheen loki ei ole itse sovelluksen hallittavissa..
Toinen Proton Technologiesin Androidin hyväksymä haavoittuvuus on käyttöoikeustietojen esiintyminen sovelluksen binaarissa, jota yhdessä ainutlaatuisen laitetunnuksen kanssa voitaisiin käyttää salaamaan sovelluksen tiedot. Proton technologies AG vastasi tähän sanomalla, että näitä valtuustietoja käytetään poikkeusraporttien lähettämiseen sen hakkuujärjestelmään lisäämällä, että ”raportoinnin API-päätepiste on harvinainen [sic]”.
Windowsissa molemmat vähäriskiset haavoittuvuudet korjattiin ja molemmat keskisuuren riskin haavoittuvuudet hyväksyttiin.
Yksi Proton Technologiesin hyväksymä, mutta ei korjaava haavoittuvuus oli tavallisen tekstin istunnon tunnusten ja VPN-käyttöoikeuksien pysyvä tallennus. VPN-palveluntarjoaja vastasi todetessaan, että “.NET- ja GO-jätteiden keräilijät ovat valvontamme ulkopuolella, eikä mikään tapa pakottaa heitä deterministisesti tyhjentämään käyttämätöntä muistia.”
Tässä skenaariossa tallennetut istuntokemerkit ja VPN-käyttäjätiedot mitätöidään heti uloskirjautumisen yhteydessä.
SEC Consult havaitsi myös mahdollisen haavoittuvuuden sovelluksen käyttöoikeustietojen koodaamisessa. Proton Technologies hyväksyi, mutta ei ratkaissut tätä haavoittuvuutta, todeten, että käyttöoikeustiedot ovat OpenVPN TLS-auth-avaimia, jotka on jo jaettu avoimesti konfigurointitiedostoihin.
Proton Technologies selvensi: ”Sitä ei käytetä palvelimien todentamiseen asiakkaalle tai päinvastoin – näiden toimintojen käsittelemiseksi on olemassa erilliset järjestelmät. Näin ollen näiden tietojen hankkiminen ei anna hyökkääjälle oikeutta esiintyä palvelimen / käyttäjän tai MITM: n (Man in the Middle Attack) yhteyden kautta. “
Toinen auditointi suoritettiin elokuussa 2023, tällä kertaa iOS- ja MacOS-sovelluksille.
MacOS-auditoinnissa ei löytynyt haavoittuvuuksia ja iOS-auditoinnissa havaittiin vain kaksi alhaisen riskin haavoittuvuuksia. Yksi näistä haavoittuvuuksista korjattiin ja toinen, “Mobiilisovellus toimii Jailbrokenissa tai juurtuneessa laitteessa”, hyväksyttiin.
Proton Technologies totesi huomautuksessa päätöksestä olla käsittelemättä tätä vähäisen riskin haavoittuvuutta: ”Emme korjaa, koska ei ole yhtä ratkaisua luotettavasti havaita, onko iOS-laite juurtunut tai juurtunut. Lisäksi odotamme käyttäjien olevan vastuussa laitteidensa turvallisuudesta, kun ne ovat juurtuneet tai juurtuneet. “