Dne 21. ledna 2020 poskytovatel VPN ProtonVPN oznámil, že zadal nezávislý bezpečnostní audit provedený bezpečnostní poradenskou společností SEC Consult..

ProtonVPN, který vlastní mateřská společnost Proton Technologies AG, zveřejnil zkrácenou verzi tohoto auditu (obsahující všechny potenciální zranitelnosti). Výsledky pro Android, iOS, MacOS a Windows si může kdokoli prohlédnout na svých webových stránkách.

Každá zpráva o auditu přezkoumá potenciální bezpečnostní chyby aplikace před a po šetření společností SEC Consult.

Konzultace na všech platformách zjistila pouze slabá a středně riziková zranitelnost. Ve zprávě SEC Consult potvrzuje, že všechny tyto chyby zabezpečení byly společností Proton Technologies opraveny nebo přijaty.

V případech, kdy byly zranitelnosti přijaty spíše než opraveny, společnost Proton Technologies ve zprávě vysvětlila toto rozhodnutí.

Audit byl proveden na základě „časového pole“. To znamená, že SEC Consult hledal zranitelnosti v aplikaci po stanovenou dobu - v tomto případě po dobu šesti dnů pro každou aplikaci.

I když tento přístup znamená, že bezpečnostní audit nelze považovat za komplexní, ProtonVPN navíc učinil všechny čtyři aplikace otevřeným zdrojovým kódem, což umožňuje bezpečnostním profesionálům nebo uživatelům zkontrolovat zranitelnost kódu.

ProtonVPN prohlašuje, že je „prvním poskytovatelem VPN, který uvolnil svůj zdrojový kód na všech platformách a provedl nezávislý bezpečnostní audit.“

NordVPN, ExpressVPN, Surfshark a Tunnelbear patří mezi další poskytovatele VPN, kteří provádějí bezpečnostní audity některých nebo všech jejich aplikací.

Existují také další VPN, například AirVPN a Mullvad, které vyvíjejí zcela open-source aplikace.

Mullvad také provedl bezpečnostní audit - i když ne na iOS, pro který nemá aplikaci.

ProtonVPN nemusí být jedinou sítí VPN, která prošla nezávislými audity a provedla všechny své aplikace open-source, ale nyní vede pole.

Redaktor Call of Ten10ent Top10VPN.com, který hovořil o oznámení, řekl: „Jsme rádi, že vidíme kroky, které ProtonVPN podnikla. Transparentnost a důvěra jsou pro VPN tak důležité a kombinace nezávislého externího auditu a produktu s otevřeným zdrojovým kódem je obrovským ujištěním.

"Upřímně doufáme, že více sítí VPN bude mít podobný směr." Audity se staly stále běžnějšími a je jisté, že se počet poskytovatelů VPN, kteří se jich účastní, v roce 2020 zvýší - programování s otevřeným zdrojovým kódem je však stále neobvyklé.

"S očima hackerů a nadšenců na ochranu soukromí na světě, kteří jsou nyní přímo ve zdrojovém kódu ProtonVPN, nepochybujeme, že se jedná o bezpečnější a bezpečnější produkt než kdy jindy."

Používání softwaru s otevřeným zdrojovým kódem a umožnění důvěryhodným třetím stranám provádět audit jejich softwaru a procesů jsou dvě metody, které se poskytovatelé VPN pokusili použít k vytvoření důvěry u svých uživatelů..

V prohlášení o auditu uvedl generální ředitel ProtonVPN Andy Yen: „Služby VPN mohou technicky přistupovat k některým velmi citlivým uživatelským datům, a proto by si uživatelé měli pro transparentnost a bezpečnost zvolit služby se záznamem o výkonu.

Fotografie spoluzakladatele a generálního ředitele ProtonVPN, Andy Yen

Spoluzakladatel a generální ředitel ProtonVPN, Andy Yen

"Tuto důvěru je třeba si vydělat a zveřejněním našeho kódu doufáme, že prokážeme svůj závazek vůči neustálému překračování, pokud jde o zabezpečení a uvedení uživatelů na první místo."

Auditováním zabezpečení svých aplikací ProtonVPN pomohl ujistit uživatele, že jeho služba je bezpečná. Protože však tento audit zahrnuje klienty a ne protokolovací postupy ProtonVPN, nemůže zaručit, že poskytovatel VPN udělá přesně to, co říká ve svých zásadách ochrany osobních údajů..

Je vždy vhodné, aby uživatelé prošetřili obsah auditu, protože často vyšetřují v předdefinovaném rozsahu, který nemusí zahrnovat určité aplikace nebo zásady.

K ověření, že ProtonVPN vyhovuje jeho zásadám protokolování, by byl nutný další audit na straně serveru.

Audity aplikací pro Android a Windows byly provedeny v Q1 2019 a oba vrátili auditorovi počáteční klasifikaci rizika média.

SEC Consult identifikoval čtyři zranitelnosti s nízkým rizikem a jednu zranitelnost s vysokým rizikem v aplikaci pro Android, jakož i dvě zranitelnosti s nízkým rizikem a dvě zranitelnosti se středním rizikem v desktopové aplikaci..

V aplikaci pro Android byla opravena všechna zranitelná místa s výjimkou dvou rizik s názvem „Debug Messages Enabled“ a „Hardcoded Credentials / Imperfect Data Encryption“.

První zranitelnost Androidu, kterou společnost Proton Technologies akceptovala, byla přítomnost debugovacích zpráv obsahujících potenciálně citlivá data - konkrétně pověření protokolu OpenVPN a IKEv2..

Proton Technologies považuje tyto informace za nízké riziko, protože je „navrženo tak, aby se oddělovalo od pověření uživatele.“ Dále uvádí, že tento protokol ladění je mimo kontrolu samotné aplikace..

Druhou zranitelností, kterou společnost Proton Technologies přijímá v systému Android, je přítomnost pověření v binárním kódu aplikace, který lze spolu s jedinečným ID zařízení použít k dešifrování dat z aplikace. Proton technologies AG na to odpověděl tím, že tyto přihlašovací údaje se používají k odesílání hlášení o výjimkách do jeho systému protokolování a dodal, že „koncový bod API pro vykazování je vzácně omezený [sic].“

V systému Windows byly opraveny obě zranitelnosti s nízkým rizikem a přijaty byly obě zranitelnosti se středním rizikem.

Jednou z chyb zabezpečení, které společnost Proton Technologies akceptovala, ale neopravila, bylo trvalé úložiště tokenů prostého textu a pověření VPN. Poskytovatel VPN odpověděl, že „Sběratelé odpadů .NET a GO jsou mimo naši kontrolu a neexistuje žádný způsob, jak je deterministicky přinutit, aby vyčistili nevyužitou paměť.“

Tokeny relací a přihlašovací údaje VPN uložené v tomto scénáři jsou zneplatněny okamžitě po odhlášení.

SEC Consult také identifikoval potenciální zranitelnost v hardcoding pověření do aplikace. Proton Technologies tuto chybu zabezpečení akceptovala, ale tuto chybu zabezpečení nevyřešila, přičemž uvedla, že pověření jsou klíče OpenVPN TLS-auth, které jsou již otevřeně distribuovány v konfiguračních souborech.

Společnost Proton Technologies objasnila: „Nepoužívá se pro ověřování serverů vůči klientům ani naopak - existují zvláštní systémy, které tyto funkce zpracovávají. Získání těchto informací tedy neopravňuje útočníka k předstírání identity serveru / uživatele nebo MITM [Man in the Middle attack] připojení. “

Druhá skupina auditů byla provedena v srpnu 2019, tentokrát pro aplikace pro iOS a MacOS.

Audit MacOS nezjistil žádná zranitelnost a audit iOS zjistil pouze dvě zranitelnosti s nízkým rizikem. Jedna z těchto chyb zabezpečení byla opravena a další, „Mobilní aplikace spuštěná na Jailbroken nebo Rootované zařízení“, bylo přijato.

V poznámce k rozhodnutí neřešit tuto nízkou rizikovou zranitelnost Proton Technologies uvedl: „Neřešíme to, protože neexistuje žádné řešení, které by spolehlivě detekovalo, zda bylo zařízení iOS uvězněno nebo zakořeněno. Kromě toho očekáváme, že uživatelé budou odpovědní za zabezpečení svého zařízení, jakmile budou jailbroken nebo root. “

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me