21. januar 2020 kunngjorde VPN-leverandøren ProtonVPN at den hadde bestilt en uavhengig sikkerhetsrevisjon, utført av sikkerhetskonsulentfirmaet SEC Consult.

ProtonVPN, eid av morselskapet Proton Technologies AG, har offentliggjort en forkortet versjon av denne tilsynet (som inneholder alle potensielle sårbarheter). Alle kan se resultatene for Android, iOS, MacOS og Windows på nettstedet.

Hver tilsynsrapport gjennomgår potensielle sikkerhetsproblemer i en app både før og etter SEC Consults undersøkelse.

På alle plattformer fant konsultasjonen bare sårbarheter med lav og middels risiko. I rapporten bekrefter SEC Consult at alle disse sikkerhetsproblemene enten er løst eller akseptert av Proton Technologies.

I tilfeller der sårbarheter er akseptert snarere enn fikset, har Proton Technologies gitt kommentar i rapporten som forklarer denne beslutningen.

Tilsynet ble utført på en "tidskasse" -basis. Dette betyr at SEC Consult så etter sårbarheter i appen i en angitt tidsperiode - i dette tilfellet en periode på seks dager for hver app.

Selv om denne tilnærmingen betyr at sikkerhetsrevisjonen ikke kan betraktes som omfattende, har ProtonVPN i tillegg gjort alle de fire appene åpen kildekode, slik at alle sikkerhetspersonell eller brukere kan inspisere koden for sårbarheter.

ProtonVPN hevder å være "den første VPN-leverandøren som slipper kildekoden på alle plattformer og utfører en uavhengig sikkerhetsrevisjon."

NordVPN, ExpressVPN, Surfshark og Tunnelbear er blant de andre VPN-leverandørene som skal utføre sikkerhetsrevisjoner av noen eller alle appene sine.

Det er også andre VPN-er, som AirVPN og Mullvad, som utvikler helt åpne kildekode-apper.

Mullvad har også foretatt en sikkerhetsrevisjon - selv om den ikke er på iOS, som den ikke har en app til.

ProtonVPN er kanskje ikke den eneste VPN-en som har gjennomgått uavhengige revisjoner og gjort alle appene sine åpen kildekode, men det leder nå feltet.

Redaktør for Top10VPN.com Callum Tennent sa til kunngjøringen: "Vi er glade for å se trinnene som ProtonVPN har tatt. Åpenhet og tillit er så viktig for en VPN, og kombinasjonen av en uavhengig ekstern revisjon og et open source-produkt er en enorm forsikring..

”Vi håper inderlig at flere VPN-er tar en lignende takling. Tilsyn har blitt mer og mer vanlig, og det er en sikkerhet at antallet VPN-leverandører som gjennomgår dem vil øke i 2020 - men åpen kildekode-programmering er fremdeles merkelig uvanlig.

"Med øyne fra hackere og personverns buffere i verden som nå er fast plassert på ProtonVPNs kildekode, er vi ikke i tvil om at det vil være et tryggere og sikrere produkt enn noen gang."

Å bruke åpen kildekode-programvare og la pålitelige tredjeparter revidere både programvaren og prosessene sine er to metoder VPN-leverandører har prøvd å bruke for å bygge tillit hos sine brukere.

I en uttalelse om tilsynet sa administrerende direktør i ProtonVPN, Andy Yen: “VPN-tjenester kan teknisk sett få tilgang til noen veldig sensitive brukerdata, og det er grunnen til at brukere bør velge tjenester med en track record for åpenhet og sikkerhet..

Bilde av ProtonVPN co-grunnlegger og administrerende direktør, Andy Yen

ProtonVPN co-grunnlegger og administrerende direktør, Andy Yen

"Denne tilliten må oppnås, og ved å publisere koden vår, håper vi å demonstrere vårt engasjement for å alltid gå utover når det kommer til sikkerhet og sette brukere først."

Ved å revidere sikkerheten til appene sine har ProtonVPN bidratt til å forsikre brukerne om at tjenesten deres er sikker. Men siden denne tilsynet er av klientene og ikke ProtonVPNs loggføringspraksis, kan den ikke garantere at VPN-leverandøren gjør akkurat det den sier i personvernreglene.

Det anbefales alltid for brukere å undersøke innholdet i en revisjon, da de ofte undersøker innenfor et forhåndsdefinert omfang, som kanskje ikke inkluderer visse apper eller policyer.

En ytterligere revisjon på serversiden vil være nødvendig for å bevise at ProtonVPN er i samsvar med loggføringspolitikken.

Android- og Windows-apprevisjonene ble utført i 1. kvartal 2019, og begge ga en innledende risikoklassifisering av medium fra revisoren.

SEC Consult identifiserte fire sårbarheter med lav risiko og ett sårbarhet med høy risiko i Android-appen, samt to sårbarheter med lav risiko og to sårbarheter med middels risiko i skrivebordsappen.

I Android-appen ble alle, bortsett fra to sårbarheter med lav risiko, fikset, med tittelen “Debug Messages Enabled” og “Hardcoded Credentials / Imperfect Data Encryption.”

Det første Android-sikkerhetsproblemet som ble akseptert av Proton Technologies, var tilstedeværelsen av feilsøkingsmeldinger som inneholder potensielt sensitive data - spesifikt OpenVPN- og IKEv2-protokollinformasjon..

Proton Technologies anser denne informasjonen som lav risiko, ettersom den er "designet for å være atskilt fra brukerens kontooplysninger." Videre uttaler den at denne feilsøkingsloggen er utenfor kontrollen av appen selv.

Den andre sårbarheten som er akseptert av Proton Technologies på Android, er tilstedeværelsen av legitimasjon i appens binære programvare, sammen med en unik enhets-ID, som kan brukes til å dekryptere data fra appen. Proton Technologies AG reagerte på dette ved å si at disse legitimasjonene brukes til å sende unntaksrapporter til sitt loggsystem, og la til at "API-endepunktet for rapportering er sjelden begrenset [sic]."

På Windows var begge sårbarheter med lav risiko løst, og begge sårbarheter med middels risiko ble akseptert.

En sårbarhet som ble akseptert, men ikke fikset av Proton Technologies, var den dvelende lagringen av symboler for ren tekstøkt og VPN-legitimasjon. VPN-leverandøren svarte med å si at ". NET og GO søppelsamlere er utenfor vår kontroll, og det er ingen måte å deterministisk tvinge dem til å tømme ubrukt minne."

Møtetegnene og VPN-legitimasjonene som er lagret i dette scenariet, blir ugyldig umiddelbart etter utlogging.

SEC Consult identifiserte også en potensiell sårbarhet ved hardkoding av legitimasjon i appen. Proton Technologies godtok, men løste ikke dette sikkerhetsproblemet, og opplyste om at legitimasjonene er OpenVPN TLS-autor-nøkler, som allerede er distribuert åpent i konfigurasjonsfiler.

Proton Technologies avklarte: “Det brukes ikke til godkjenning av verken server til klient eller omvendt - det er separate systemer på plass for å håndtere disse funksjonene. Å ha denne informasjonen gir ikke en angriper myndighet til å etterligne en server / bruker eller MITM [Man in the Middle attack] en forbindelse. ”

Et annet sett med revisjoner ble utført i august 2019, denne gangen for iOS- og MacOS-appene.

MacOS-tilsynet fant ingen sårbarheter, og iOS-tilsynet fant bare to sårbarheter med lav risiko. Ett av disse sikkerhetsproblemene var løst, og det andre, "Mobile App Kjør på Jailbroken eller Rooting Device" ble akseptert.

I et notat om beslutningen om ikke å adressere denne sårbarheten med lav risiko, sa Proton Technologies: “Vi vil ikke fikse ettersom det ikke er noen løsning for pålitelig å oppdage om en iOS-enhet har blitt fengslet eller forankret. Videre forventer vi at brukere skal være ansvarlige for sikkerheten til enheten sin når de er fengslet eller forankret. "

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me