На 21 януари 2020 г. доставчикът на VPN ProtonVPN обяви, че е поръчал независим одит за сигурност, извършен от консултантската фирма за сигурност SEC Consult.

ProtonVPN, собственост на компанията майка Proton Technologies AG, направи съкратена версия на този одит (съдържаща всички потенциални уязвимости) публично достояние. Всеки може да прегледа резултатите за Android, iOS, MacOS и Windows на своя уебсайт.

Всеки одитен доклад преглежда потенциални уязвимости в сигурността на приложение както преди, така и след разследването на SEC Consult.

Във всички платформи консултацията откри само уязвими места с нисък и среден риск. В доклада SEC Consult потвърждава, че всички тези уязвимости са били коригирани или приети от Proton Technologies.

В случаите, когато уязвимостите са приети, а не коригирани, Proton Technologies представи коментар в доклада, обясняващ това решение.

Одитът е извършен на базата на „времевата кутия“. Това означава, че SEC Consult потърси уязвимости в приложението за определен период от време - в случая период от шест дни за всяко приложение.

Въпреки че този подход означава, че одитът за сигурност не може да се счита за всеобхватен, ProtonVPN допълнително направи всички четири приложения с отворен код, което позволява на всички специалисти по сигурността или потребители да проверяват кода за уязвимости.

ProtonVPN твърди, че е „първият VPN доставчик, който пусна своя изходен код на всички платформи и провежда независим одит на сигурността“.

NordVPN, ExpressVPN, Surfshark и Tunnelbear са сред другите доставчици на VPN, които извършват одити за сигурност на някои или всички техни приложения.


Има и други VPN, като AirVPN и Mullvad, които разработват напълно приложения с отворен код.

Mullvad също предприе одит за сигурност - макар и не на iOS, за което няма приложение.

ProtonVPN може да не е единственият VPN, който е преминал независими одити и е направил всички свои приложения с отворен код, но сега той ръководи в областта.

Говорейки за съобщението, редакторът на Top10VPN.com Callum Tennent каза: „Радваме се да видим стъпките, които ProtonVPN предприе. Прозрачността и доверието са толкова важни за VPN, а комбинацията от независим външен одит и продукт с отворен код са огромно успокоение.

„Искрено се надяваме повече VPN да предприемат подобно решение. Одитите стават все по-често срещани и е сигурно, че броят на доставчиците на VPN, които ги подлагат, ще се увеличи през 2020 г. - но програмирането с отворен код все още е странно рядко срещано..

„С погледа на хакерите и почитателите на поверителността по света сега са фиксирани пряко върху изходния код на ProtonVPN, не се съмняваме, че той ще бъде по-безопасен и по-сигурен продукт от всякога.“

Използването на софтуер с отворен код и позволяване на надеждни трети страни да одитират както своя софтуер, така и процесите са два метода, които VPN доставчиците са се опитали да използват за изграждане на доверие със своите потребители.

В изявление относно одита, изпълнителният директор на ProtonVPN Анди Йен заяви: „VPN услугите могат технически да имат достъп до някои много чувствителни потребителски данни, поради което потребителите трябва да избират услугите с проследяване за прозрачност и сигурност.

Снимка на съоснователя на ProtonVPN и изпълнителен директор, Анди Йен

Съосновател и изпълнителен директор на ProtonVPN, Анди Йен

„Това доверие трябва да бъде спечелено и с публикуването на нашия код се надяваме да демонстрираме ангажираността си винаги да вървим над и отвъд, когато става въпрос за сигурността и поставянето на потребителите на първо място.“

Проверявайки сигурността на своите приложения, ProtonVPN помогна да гарантира на потребителите, че услугата му е защитена. Но тъй като този одит е на клиентите, а не на практиките на протоколиране на ProtonVPN, той не може да гарантира, че доставчикът на VPN прави точно това, което казва в своята политика за поверителност.

Винаги е препоръчително потребителите да изследват съдържанието на одит, тъй като те често разследват в предварително определен обхват, който може да не включва определени приложения или правила.

Необходим е допълнителен одит от страна на сървъра, за да се докаже, че ProtonVPN съответства на своята политика за регистриране.

Одитите за приложения за Android и Windows бяха извършени през първото тримесечие на 2019 г. и двамата върнаха първоначална класификация на риска от среда от одитора.

SEC Consult идентифицира четири уязвимости с нисък риск и една уязвимост с висок риск в приложението за Android, както и две уязвимости с нисък риск и две уязвимости със среден риск в настолното приложение.

В приложението за Android бяха отстранени всички уязвимости с нисък риск, озаглавени „Съобщения за отстраняване на грешки“ и „Hardcoded Credentials / Imperfect Encryption Data“.

Първата уязвимост на Android, приета от Proton Technologies, беше наличието на съобщения за отстраняване на грешки, съдържащи потенциално чувствителни данни - по-специално OpenVPN и IKEv2 идентификационни протоколи.

Proton Technologies счита тази информация за нискорискова, тъй като тя е „проектирана да бъде отделена от идентификационните данни на акаунта на потребителя.“ Освен това заявява, че този журнал за отстраняване на грешки е извън контрола на самото приложение.

Другата уязвимост, приета от Proton Technologies за Android, е наличието на идентификационни данни в двоичния файл на приложението, които заедно с уникален идентификационен номер на устройството могат да бъдат използвани за декриптиране на данни от приложението. Proton technology AG отговориха на това, като казаха, че тези идентификационни данни се използват за изпращане на отчети за изключения към неговата система за регистриране, като добавят, че „крайната точка на API за отчитане е рядко ограничена [sic]“.

В Windows и двете уязвими уязвимости бяха фиксирани и двете уязвимости средни.

Една уязвимост, приета, но не фиксирана от Proton Technologies, е дългосрочното съхранение на обикновени маркери за текстови сесии и VPN идентификационни данни. Доставчикът на VPN отговори, като заяви, че „.NET и GO боклуците са извън нашия контрол и няма начин да ги принудим да изчистят неизползваната памет.“

Маркерите за сесия и VPN идентификационните данни, съхранени в този сценарий, се анулират веднага след излизане.

SEC Consult също установи потенциална уязвимост при твърдото кодиране на идентификационни данни в приложението. Proton Technologies прие, но не разреши тази уязвимост, заявявайки, че идентификационните данни са OpenVPN TLS-auth ключове, които вече се разпространяват открито в конфигурационни файлове.

Proton Technologies поясни: „Не се използва за удостоверяване на сървър към клиент или обратно - съществуват отделни системи за работа с тези функции. По този начин притежаването на тази информация не дава възможност на атакуващия да се представя за сървър / потребител или MITM [Man in the Middle attack] връзка. “

През август 2019 г. бе извършен втори набор от одити, този път за приложенията за iOS и MacOS.

Одитът на MacOS не намери уязвимости, а одитът на iOS намери само две уязвими уязвимости. Една от тези уязвимости бе отстранена, а другата - „Мобилно приложение работи на Jailbroken или Rooted Device“ беше прието.

В бележка относно решението да не се справя с тази уязвимост с нисък риск, Proton Technologies заяви: „Няма да поправим, тъй като няма едно решение за надеждно откриване дали iOS устройството е било счупено или вкоренено. Освен това очакваме потребителите да носят отговорност за сигурността на устройството си, след като са прекъснати или вкоренени. "

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me