21 января 2020 года провайдер VPN ProtonVPN объявил о проведении независимого аудита безопасности, проведенного консалтинговой фирмой SEC Consult..

ProtonVPN, принадлежащая материнской компании Proton Technologies AG, обнародовала сокращенную версию этого аудита (содержащего все потенциальные уязвимости). Любой может просмотреть результаты для Android, iOS, MacOS и Windows на своем веб-сайте..

В каждом отчете о проверке рассматриваются потенциальные уязвимости безопасности приложения как до, так и после расследования SEC Consult.

Консультация на всех платформах выявила только уязвимости с низким и средним риском. В своем отчете SEC Consult подтверждает, что все эти уязвимости были либо исправлены, либо приняты Proton Technologies..

В случаях, когда уязвимости были приняты, а не устранены, Proton Technologies предоставила комментарий в отчете, объясняющий это решение..

Аудит проводился на основе «временных рамок». Это означает, что SEC Consult искала уязвимости в приложении в течение определенного периода времени - в данном случае для каждого приложения - шесть дней..

Хотя такой подход означает, что аудит безопасности нельзя считать всеобъемлющим, ProtonVPN дополнительно сделал все четыре приложения с открытым исходным кодом, что позволяет любым специалистам по безопасности или пользователям проверять код на наличие уязвимостей..

ProtonVPN утверждает, что является «первым поставщиком VPN, который выпустил свой исходный код на всех платформах и провел независимый аудит безопасности».

NordVPN, ExpressVPN, Surfshark и Tunnelbear входят в число других провайдеров VPN для проведения аудита безопасности некоторых или всех своих приложений..

Есть также другие VPN, такие как AirVPN и Mullvad, которые разрабатывают приложения с полностью открытым исходным кодом..

Mullvad также провел аудит безопасности - хотя не на iOS, для которого у него нет приложения для.

ProtonVPN может быть не единственной VPN, которая прошла независимый аудит и сделала все свои приложения с открытым исходным кодом, но теперь она лидирует в этой области..

Говоря об объявлении, редактор Top10VPN.com Callum Tennent сказал: «Мы рады видеть шаги, предпринятые ProtonVPN. Прозрачность и доверие так важны для VPN, а сочетание независимого внешнего аудита и продукта с открытым исходным кодом является огромной гарантией.

«Мы искренне надеемся, что больше VPN предпримут аналогичные действия. Аудиты становятся все более распространенными, и несомненно, что число провайдеров VPN, проходящих через них, увеличится в 2020 году, но программирование с открытым исходным кодом все еще странно редкость.

«Учитывая то, что хакеры и любители конфиденциальности всего мира прямо сейчас сосредоточены на исходном коде ProtonVPN, мы не сомневаемся, что это будет более безопасный и безопасный продукт, чем когда-либо».

Использование программного обеспечения с открытым исходным кодом и предоставление доверенным сторонним компаниям возможности проверять как свое программное обеспечение, так и процессы - это два метода, которые провайдеры VPN пытались использовать для создания доверия со своими пользователями..

В заявлении об аудите генеральный директор ProtonVPN Энди Йен сказал: «Сервисы VPN могут технически получить доступ к некоторым очень чувствительным данным пользователя, поэтому пользователям следует выбирать сервисы с репутацией для прозрачности и безопасности..

Фотография соучредителя и генерального директора ProtonVPN Энди Йена

ProtonVPN Соучредитель и генеральный директор Энди Йен

«Это доверие должно быть заслужено, и, публикуя наш код, мы надеемся продемонстрировать наше стремление всегда идти дальше и дальше, когда дело доходит до безопасности и ставить пользователей на первое место».

Проверяя безопасность своих приложений, ProtonVPN помогает пользователям гарантировать безопасность своих услуг. Но, поскольку этот аудит относится к клиентам, а не к практике ведения журналов ProtonVPN, он не может гарантировать, что поставщик VPN делает именно то, что говорит в своей политике конфиденциальности..

Пользователям всегда рекомендуется исследовать содержимое аудита, так как они часто исследуют в предопределенной области, которая может не включать определенные приложения или политики.

Необходим дальнейший аудит на стороне сервера, чтобы доказать, что ProtonVPN соответствует своей политике ведения журналов.

Аудит приложений для Android и Windows был проведен в первом квартале 2019 года, и оба вернули аудитору первоначальную классификацию рисков среднего уровня.

SEC Consult выявил четыре уязвимости с низким риском и одну уязвимость с высоким риском в приложении Android, а также две уязвимости с низким риском и две уязвимости среднего риска в настольном приложении.

В приложении Android были исправлены все уязвимости с низким риском, кроме двух, под названием «Отладочные сообщения включены» и «Жестко закодированные учетные данные / несовершенное шифрование данных».

Первой уязвимостью Android, принятой Proton Technologies, было наличие отладочных сообщений, содержащих потенциально конфиденциальные данные, в частности учетные данные протокола OpenVPN и IKEv2..

Proton Technologies рассматривает эту информацию как низкую степень риска, поскольку она «предназначена для отделения от учетных данных пользователя». Кроме того, она утверждает, что этот журнал отладки находится вне контроля самого приложения..

Другая уязвимость, принятая Proton Technologies для Android, заключается в наличии учетных данных в двоичном файле приложения, которые вместе с уникальным идентификатором устройства могут использоваться для расшифровки данных из приложения. Proton Technologies AG ответила на это, сказав, что эти учетные данные используются для отправки отчетов об исключениях в свою систему ведения журнала, добавив, что «конечная точка API для создания отчетов редко ограничена [sic]».

В Windows были исправлены обе уязвимости с низким уровнем риска, и обе уязвимости были приняты.

Одной из уязвимостей, принятых, но не исправленных Proton Technologies, было длительное хранение простых текстовых токенов и учетных данных VPN. Провайдер VPN ответил, заявив, что «сборщики мусора .NET и GO находятся вне нашего контроля, и нет никакого способа принудительно заставить их очистить неиспользуемую память».

Маркеры сеанса и учетные данные VPN, сохраненные в этом сценарии, становятся недействительными сразу после выхода из системы..

SEC Consult также выявила потенциальную уязвимость в жестком кодировании учетных данных в приложении. Proton Technologies приняла, но не устранила эту уязвимость, заявив, что учетными данными являются ключи OpenVPN TLS-auth, которые уже открыто распределены в файлах конфигурации.

Proton Technologies пояснила: «Она не используется для аутентификации сервера или клиента или наоборот - существуют отдельные системы для выполнения этих функций. Таким образом, наличие этой информации не дает злоумышленнику возможности олицетворять сервер / пользователя или MITM [Man in the Middle attack] соединение ».

Второй набор проверок был проведен в августе 2019 года, на этот раз для приложений iOS и MacOS.

Аудит MacOS не обнаружил уязвимостей, а аудит iOS обнаружил только две уязвимости с низким уровнем риска. Одна из этих уязвимостей была исправлена, а другая, «Мобильное приложение работает на взломанном или рутированном устройстве», была принята.

В записке о решении не устранять эту уязвимость с низким риском компания Proton Technologies сказала: «Мы не будем исправлять, поскольку не существует единого решения для надежного обнаружения, если устройство iOS было взломано или взломано. Кроме того, мы ожидаем, что пользователи будут нести ответственность за безопасность своего устройства после взлома или рутирования ».

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me