เมื่อวันที่ 21 มกราคม 2563 ผู้ให้บริการ VPN ProtonVPN ประกาศว่าได้รับหน้าที่ตรวจสอบความปลอดภัยอิสระดำเนินการโดย บริษัท ที่ปรึกษาด้านความปลอดภัย SEC Consult.
ProtonVPN ซึ่งเป็น บริษัท แม่ Proton Technologies AG เป็นเจ้าของทำให้การตรวจสอบฉบับย่อ (มีช่องโหว่ที่อาจเป็นไปได้) เผยแพร่ต่อสาธารณะ ทุกคนสามารถดูผลลัพธ์สำหรับ Android, iOS, MacOS และ Windows บนเว็บไซต์.
รายงานการตรวจสอบแต่ละรายการจะตรวจสอบช่องโหว่ความปลอดภัยที่อาจเกิดขึ้นของแอปทั้งก่อนและหลังการสอบสวนของ SEC Consult.
ในทุกแพลตฟอร์มการปรึกษาหารือพบว่ามีความเสี่ยงต่ำและปานกลางเท่านั้น ในรายงาน SEC Consult ยืนยันว่าช่องโหว่เหล่านี้ทั้งหมดได้รับการแก้ไขหรือยอมรับโดย Proton Technologies.
ในกรณีที่ช่องโหว่ได้รับการยอมรับมากกว่าที่จะแก้ไข Proton Technologies ได้ให้ความเห็นไว้ในรายงานเพื่ออธิบายการตัดสินใจนี้.
การตรวจสอบได้ดำเนินการตาม“ timebox” ซึ่งหมายความว่า SEC Consult มองหาช่องโหว่ในแอพตามระยะเวลาที่กำหนด – ในกรณีนี้จะมีระยะเวลาหกวันสำหรับแต่ละแอพ.
ในขณะที่วิธีการนี้หมายความว่าการตรวจสอบความปลอดภัยนั้นไม่สามารถพิจารณาได้อย่างครอบคลุม ProtonVPN ได้เพิ่มแอพพลิเคชั่นทั้งสี่แบบให้กับโอเพนซอร์สทำให้ผู้เชี่ยวชาญด้านความปลอดภัยหรือผู้ใช้สามารถตรวจสอบโค้ด.
ProtonVPN อ้างว่าเป็น“ ผู้ให้บริการ VPN รายแรกที่ปล่อยซอร์สโค้ดของตนบนทุกแพลตฟอร์มและดำเนินการตรวจสอบความปลอดภัยอิสระ”
NordVPN, ExpressVPN, Surfshark และ Tunnelbear เป็นหนึ่งในผู้ให้บริการ VPN อื่น ๆ ที่ดำเนินการตรวจสอบความปลอดภัยของแอพบางตัวหรือทั้งหมด.
นอกจากนี้ยังมี VPN อื่น ๆ เช่น AirVPN และ Mullvad ซึ่งพัฒนาแอปโอเพ่นซอร์สอย่างสมบูรณ์.
Mullvad ได้ดำเนินการตรวจสอบความปลอดภัยด้วยแม้ว่าจะไม่ได้ใช้บน iOS ซึ่งไม่มีแอพสำหรับ.
ProtonVPN อาจไม่ใช่ VPN เพียงตัวเดียวที่ได้รับการตรวจสอบอย่างอิสระและทำให้แอพพลิเคชั่นทั้งหมดเป็นโอเพ่นซอร์ส แต่ตอนนี้กำลังเป็นผู้นำ.
บรรณาธิการของ Top10VPN.com Callum Tennent กล่าวว่า“ เรายินดีที่ได้เห็นขั้นตอนที่ ProtonVPN ดำเนินการ ความโปร่งใสและความไว้วางใจมีความสำคัญอย่างยิ่งต่อ VPN และการรวมกันของการตรวจสอบภายนอกที่เป็นอิสระและผลิตภัณฑ์โอเพนซอร์ซเป็นการรับรองที่ยิ่งใหญ่.
“ เราหวังเป็นอย่างยิ่งว่า VPNs จำนวนมากจะใช้วิธีเดียวกัน การตรวจสอบเป็นเรื่องธรรมดามากขึ้นเรื่อย ๆ และมีความแน่นอนว่าจำนวนผู้ให้บริการ VPN ที่ดำเนินการอยู่จะเพิ่มขึ้นในปี 2563 – แต่การเขียนโปรแกรมโอเพนซอร์สยังคงเป็นเรื่องแปลก.
“ ด้วยสายตาของแฮ็คเกอร์และความเป็นส่วนตัวของโลกตอนนี้ได้แก้ไขรหัสแหล่งที่มาของ ProtonVPN อย่างเต็มที่เราไม่สงสัยเลยว่ามันจะเป็นผลิตภัณฑ์ที่ปลอดภัยและปลอดภัยมากขึ้นกว่าเดิม”
การใช้ซอฟต์แวร์โอเพ่นซอร์สและการอนุญาตให้บุคคลที่สามที่เชื่อถือได้ทำการตรวจสอบทั้งซอฟต์แวร์และกระบวนการของพวกเขานั้นเป็นสองวิธีที่ผู้ให้บริการ VPN พยายามใช้เพื่อสร้างความไว้วางใจกับผู้ใช้.
แอนดี้เยนซีอีโอของ ProtonVPN กล่าวในแถลงการณ์การตรวจสอบว่า“ บริการ VPN สามารถเข้าถึงข้อมูลผู้ใช้ที่มีความอ่อนไหวทางเทคนิคซึ่งเป็นสาเหตุที่ผู้ใช้ควรเลือกบริการที่มีประวัติที่โปร่งใสและปลอดภัย.
แอนดี้เยนผู้ร่วมก่อตั้งและผู้ก่อตั้ง ProtonVPN
“ ความไว้วางใจนี้จะต้องได้รับและโดยการเผยแพร่รหัสของเราเราหวังว่าจะแสดงให้เห็นถึงความมุ่งมั่นของเราที่จะก้าวไปข้างหน้าและเหนือกว่าเมื่อคำนึงถึงความปลอดภัยและให้ความสำคัญกับผู้ใช้เป็นอันดับแรก”
ด้วยการตรวจสอบความปลอดภัยของแอพ ProtonVPN ได้ช่วยให้ผู้ใช้มั่นใจได้ว่าบริการของพวกเขาปลอดภัย แต่เนื่องจากการตรวจสอบนี้เป็นของลูกค้าและไม่ใช่วิธีการบันทึกของ ProtonVPN จึงไม่สามารถรับประกันได้ว่าผู้ให้บริการ VPN จะทำสิ่งที่ระบุไว้ในนโยบายความเป็นส่วนตัว.
ขอแนะนำให้ผู้ใช้ตรวจสอบเนื้อหาของการตรวจสอบเนื่องจากผู้ใช้มักตรวจสอบภายในขอบเขตที่กำหนดไว้ล่วงหน้าซึ่งอาจไม่รวมแอพหรือนโยบายบางอย่าง.
การตรวจสอบฝั่งเซิร์ฟเวอร์เพิ่มเติมจำเป็นต้องพิสูจน์ว่า ProtonVPN เป็นไปตามนโยบายการบันทึก.
การตรวจสอบแอพ Android และ Windows ได้ดำเนินการในไตรมาสที่ 1 ปี 2562 และทั้งคู่กลับมาจัดประเภทความเสี่ยงเริ่มต้นของสื่อจากผู้สอบบัญชี.
ก.ล.ต. ที่ปรึกษาระบุช่องโหว่ที่มีความเสี่ยงต่ำสี่ช่องโหว่และช่องโหว่ที่มีความเสี่ยงสูงหนึ่งจุดในแอป Android รวมถึงช่องโหว่ที่มีความเสี่ยงต่ำสองช่องและช่องโหว่ความเสี่ยงปานกลางสองช่องทางในแอปเดสก์ท็อป.
ในแอป Android ช่องโหว่ที่มีความเสี่ยงต่ำทั้งหมดได้รับการแก้ไขชื่อ“ เปิดใช้งานการดีบักข้อความ” และ“ การเข้ารหัสข้อมูลประจำตัว / การเข้ารหัสข้อมูลที่ไม่สมบูรณ์ของฮาร์ดโค้ด”
ช่องโหว่ Android แรกที่ได้รับการยอมรับจาก Proton Technologies คือการปรากฏตัวของข้อความดีบั๊กที่มีข้อมูลที่มีความละเอียดอ่อนโดยเฉพาะข้อมูลรับรองโปรโตคอล OpenVPN และ IKEv2.
Proton Technologies พิจารณาว่าข้อมูลนี้มีความเสี่ยงต่ำเนื่องจากเป็น “การออกแบบให้แยกออกจากข้อมูลบัญชีของผู้ใช้” นอกจากนี้ยังระบุว่าบันทึกการดีบักนี้อยู่นอกเหนือการควบคุมของแอป.
ช่องโหว่อื่น ๆ ที่ได้รับการยอมรับจาก Proton Technologies ใน Android คือการแสดงตนของข้อมูลประจำตัวในไบนารีของแอปซึ่งสามารถใช้ร่วมกับรหัสอุปกรณ์ที่ไม่ซ้ำกันเพื่อใช้ในการถอดรหัสข้อมูลจากแอป เทคโนโลยีโปรตอน AG ตอบสนองต่อสิ่งนี้โดยบอกว่าข้อมูลประจำตัวเหล่านี้ใช้เพื่อส่งรายงานข้อยกเว้นไปยังระบบการบันทึกของตนโดยเพิ่มว่า“ ปลายทาง API สำหรับการรายงานนั้นหายาก จำกัด [sic]”
บน Windows ทั้งช่องโหว่ที่มีความเสี่ยงต่ำได้รับการแก้ไขและยอมรับช่องโหว่ที่มีความเสี่ยงปานกลางทั้งสอง.
ช่องโหว่หนึ่งช่องทางที่ได้รับการยอมรับ แต่ไม่ได้รับการแก้ไขโดย Proton Technologies คือที่เก็บข้อมูลของโทเค็นข้อความธรรมดาและข้อมูลรับรอง VPN ผู้ให้บริการ VPN ตอบกลับโดยระบุว่า“ ผู้รวบรวมขยะ. NET และ GO นั้นอยู่นอกเหนือการควบคุมของเราและไม่มีวิธีใดที่จะบังคับให้พวกเขาล้างหน่วยความจำที่ไม่ได้ใช้อย่างแน่นอน”
โทเค็นเซสชันและข้อมูลรับรอง VPN ที่เก็บไว้ในสถานการณ์นี้จะไม่ถูกต้องทันทีเมื่อออกจากระบบ.
SEC Consult ยังระบุถึงช่องโหว่ที่อาจเกิดขึ้นในการเข้ารหัสข้อมูลประจำตัวในแอป Proton Technologies ยอมรับแล้ว แต่ไม่ได้แก้ไขช่องโหว่นี้โดยระบุว่าข้อมูลรับรองคือกุญแจ OpenVPN TLS-auth ซึ่งเผยแพร่อยู่แล้วอย่างเปิดเผยในไฟล์ปรับแต่ง.
Proton Technologies ชี้แจง:“ ไม่ได้ใช้สำหรับการตรวจสอบความถูกต้องของเซิร์ฟเวอร์ไปยังไคลเอนต์หรือในทางกลับกัน – มีระบบที่แยกต่างหากเพื่อจัดการฟังก์ชั่นเหล่านั้น ดังนั้นการมีข้อมูลนี้ไม่ได้ช่วยให้ผู้โจมตีสามารถปลอมแปลงเซิร์ฟเวอร์ / ผู้ใช้หรือ MITM [การโจมตีแบบ Middle Man] ในการเชื่อมต่อ”
มีการตรวจสอบชุดที่สองในเดือนสิงหาคม 2562 คราวนี้สำหรับแอพ iOS และ MacOS.
การตรวจสอบ MacOS ไม่พบช่องโหว่และการตรวจสอบ iOS พบเพียงสองช่องโหว่ที่มีความเสี่ยงต่ำ หนึ่งในช่องโหว่เหล่านี้ได้รับการแก้ไขและอีกช่องทางหนึ่งยอมรับว่า “Mobile App Runs บน Jailbroken หรือ Rooted Device” ได้รับการยอมรับ.
ในหมายเหตุเกี่ยวกับการตัดสินใจที่จะไม่แก้ไขช่องโหว่ที่มีความเสี่ยงต่ำนี้ Proton Technologies กล่าวว่า:“ เราจะไม่แก้ไขเนื่องจากไม่มีวิธีการหนึ่งที่เชื่อถือได้หากตรวจพบว่าอุปกรณ์ iOS ได้รับการเจลเบรคหรือถูกรูท นอกจากนี้เราคาดว่าผู้ใช้จะต้องรับผิดชอบต่อความปลอดภัยของอุปกรณ์ของตนเมื่อถูกเจลเบรคหรือถูกรูท”