Dana 21. siječnja 2020. dobavljač VPN-a ProtonVPN objavio je da je naručio neovisnu reviziju sigurnosti koju je poduzelo zaštitarsko konzultantsko poduzeće SEC Consult.

ProtonVPN, u vlasništvu matične tvrtke Proton Technologies AG, objavio je skraćenu verziju ove revizije (koja sadrži sve potencijalne ranjivosti) za javnost. Svatko može vidjeti rezultate za Android, iOS, MacOS i Windows na svojoj web stranici.

Svako revizorsko izvješće pregledava moguće sigurnosne ranjivosti aplikacije prije i nakon istrage SEC Consulta.

Na svim platformama, savjetovanje je otkrilo samo ranjivosti niskog i srednjeg rizika. U izvješću SEC Consult potvrđuje da je sve ove ranjivosti tvrtka Proton Technologies ispravljala ili prihvatila.

U slučajevima kada su ranjivosti prihvaćene, a ne ispravljene, Proton Technologies je u izvještaj dostavila komentar koji objašnjava ovu odluku.

Revizija je provedena na osnovi vremenskog okvira. To znači da je SEC Consult tražio ranjivosti u aplikaciji određeno vrijeme - u ovom slučaju razdoblje od šest dana za svaku aplikaciju.

Iako ovaj pristup znači da se sigurnosna revizija ne može smatrati sveobuhvatnom, ProtonVPN je dodatno napravio sve četiri aplikacije otvorenog koda, omogućujući svim sigurnosnim stručnjacima ili korisnicima da provjere kod na ranjivosti.

ProtonVPN tvrdi da je "prvi pružatelj VPN-a koji je objavio svoj izvorni kod na svim platformama i proveo neovisnu reviziju sigurnosti."

NordVPN, ExpressVPN, Surfshark i Tunnelbear su među ostalim pružateljima VPN-ova koji poduzimaju revizije sigurnosti nekih ili svih svojih aplikacija.

Postoje i drugi VPN-ovi, poput AirVPN-a i Mullvad-a, koji razvijaju potpuno otvorene programe.

Mullvad je također preuzeo sigurnosnu reviziju - iako ne na iOS-u za koji nema aplikaciju.

ProtonVPN možda nije jedini VPN koji je prošao neovisne revizije i učinio sve svoje aplikacije otvorenim kodom, ali sada on vodi na tom polju.

Govoreći o najavi, urednik Top10VPN.com Callum Tennent rekao je: "Oduševljeni smo što vidimo korake koje je poduzeo ProtonVPN. Transparentnost i povjerenje toliko su važni za VPN, a kombinacija neovisne vanjske revizije i proizvoda otvorenog koda veliko je uvjerenje.

„Iskreno se nadamo da će i više VPN-a krenuti na sličan način. Revizije postaju sve učestalije i izvjesno je da će se broj pružatelja VPN-a koji ih prolaze povećati do 2020. godine - ali otvoreni izvorni programi su još uvijek neobično neuobičajeni.

"S očima hakera i zaljubljenika u privatnost koji su sada usredotočeni na izvorni kod ProtonVPN-a, ne sumnjamo da će biti sigurniji i sigurniji proizvod nego ikad."

Korištenje softvera otvorenog koda i omogućavanje pouzdanim trećim stranama da vrše reviziju svog softvera i procesa dvije su metode koje su pružatelji VPN pokušali koristiti za izgradnju povjerenja sa svojim korisnicima.

U izjavi o reviziji, izvršni direktor ProtonVPN-a Andy Yen rekao je: "VPN usluge mogu tehnički pristupiti nekim vrlo osjetljivim korisničkim podacima, zbog čega bi korisnici trebali birati usluge s evidencijom transparentnosti i sigurnosti..

Fotografija suosnivača ProtonVPN-a, Andyja Yena

Suosnivač ProtonVPN-a i izvršni direktor, Andy Yen

"To povjerenje moramo zaslužiti, a objavljivanjem našeg koda nadamo se da ćemo pokazati svoju predanost da uvijek idemo iznad i dalje kada je u pitanju sigurnost i stavljanje korisnika na prvo mjesto."

Uvidom u sigurnost svojih aplikacija, ProtonVPN je pomogao osigurati korisnike da je njegova usluga sigurna. No, budući da je ova revizija od klijenata, a nije ProtonVPN-ova praksa evidentiranja, to ne može jamčiti da će pružatelj VPN-a učiniti točno ono što piše u svojoj politici privatnosti.

Korisnicima je uvijek preporučljivo istražiti sadržaj revizije, jer oni često istražuju unaprijed definirani opseg, koji možda ne uključuje određene aplikacije ili pravila.

Daljnja revizija na strani poslužitelja bila bi potrebna kako bi se dokazalo da ProtonVPN udovoljava svojoj politici prijavljivanja.

Revizije aplikacija za Android i Windows provedene su u prvom tromjesečju 2019. i obje su od revizora vratile početnu klasifikaciju rizika.

SEC Consult identificirao je četiri ranjivosti niskog rizika i jednu ranjivost visokog rizika u Androidovoj aplikaciji, kao i dvije ranjivosti niskog rizika i dvije ranjivosti srednjeg rizika u desktop aplikaciji.

U Androidovoj aplikaciji popravljene su sve, osim dvije ranjivosti niskog rizika, naslovljene "Poruke za uklanjanje pogrešaka omogućene" i "Tvrdo kodirani vjerodajnici / nesavršeno šifriranje podataka."

Prva Android ranjivost koju je Proton Technologies prihvatila bila je prisutnost pogrešaka koje sadrže potencijalno osjetljive podatke - konkretno vjerodajnice OpenVPN i IKEv2 protokola.

Proton Technologies smatra da su ove informacije niskim rizikom, jer su "dizajnirane tako da budu odvojene od korisničkih računa korisnika." Nadalje, navodi da je ovaj zapisnik o pogreškama izvan kontrole same aplikacije..

Druga ranjivost koju je Proton Technologies prihvatio na Androidu je prisutnost vjerodajnica u binarnoj aplikaciji aplikacije, koja bi se zajedno s jedinstvenim ID-om uređaja mogla koristiti za dešifriranje podataka iz aplikacije. Proton technology AG je na to odgovorio rekavši da se ovi podaci koriste za slanje izvještaja o iznimkama u njegov sustav zapisivanja, dodajući da je „krajnja točka API-ja za izvještavanje rijetko ograničena [sic]“.

Na Windows-u su popravljene obje ranjivosti niskog rizika i obje ranjivosti srednjeg rizika su prihvaćene.

Jedna ranjivost koju je Proton Technologies prihvatio, ali je nije popravio bila je dugotrajna pohrana običnih tekstualnih tokena sesija i VPN vjerodajnica. Davatelj VPN-a odgovorio je navodeći da su ".NET i GO sakupljači smeća izvan naše kontrole i ne postoji način da ih dezertirano prisilimo na brisanje neiskorištene memorije."

Tokeni sesija i VPN vjerodajnice pohranjeni u ovom scenariju nevažeći su odmah po odjavi.

SEC Consult je također utvrdio potencijalnu ranjivost u tvrdom kodu vjerodajnica u aplikaciji. Proton Technologies je prihvatila, ali nije riješila ovu ranjivost, navodeći da su vjerodajnice OpenVPN TLS-auth ključevi, koji se već otvoreno distribuiraju u konfiguracijskim datotekama.

Proton Technologies je pojasnio: „Ne koristi se za autentifikaciju poslužitelja ili klijenta ili obrnuto - postoje posebni sustavi koji upravljaju tim funkcijama. Dakle, posjedovanje ovih podataka ne omogućava napadaču da lažno predstavlja lansiranje poslužitelja / korisnika ili MITM [Čovjek u sredini]. "

Drugi skup revizija izvršen je u kolovozu 2019., ovaj put za iOS i MacOS aplikacije.

MacOS revizija nije našla ranjivosti, a iOS revizija pronašla je samo dvije ranjivosti niskog rizika. Jedna od tih ranjivosti je ispravljena, a druga, "Mobilna aplikacija radi na Jailbroken ili ukorijenjenom uređaju", prihvaćena je.

U napomeni o odluci da se ne riješi ove ranjivosti niskog rizika, Proton Technologies je rekao: „Nećemo popraviti jer ne postoji nijedno rješenje za pouzdano otkrivanje je li iOS uređaj pokvaren ili je ukorijenjen. Nadalje, očekujemo da će korisnici biti odgovorni za sigurnost svog uređaja nakon što se pokvari ili se ukorijene. "

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me