در 21 ژانویه سال 2023 ، ارائه دهنده VPN ProtonVPN اعلام کرد که یک مأموریت امنیتی مستقل را ، که توسط شرکت مشاوره امنیتی SEC Consult انجام شده ، مأمور کرده است..
ProtonVPN ، متعلق به شرکت مادر Proton Technologies AG ، نسخه ممیزی از این ممیزی (شامل همه آسیب پذیری های احتمالی) را در دسترس عموم قرار داده است. هر کسی می تواند نتایج مربوط به Android ، iOS ، MacOS و Windows را در وب سایت خود مشاهده کند.
هر گزارش حسابرسی ، آسیب پذیری های امنیتی احتمالی یک برنامه را قبل و بعد از بررسی SEC مشاور بررسی می کند.
در تمام سیستم عامل ها ، مشاوره فقط آسیب پذیری کم خطر و متوسط را مشاهده کرد. در گزارش SEC مشاور تأیید می کند که تمام این آسیب پذیری ها توسط Proton Technologies برطرف شده است یا پذیرفته شده اند.
در مواردی که آسیب پذیری ها به جای رفع پذیرش پذیرفته شده اند ، پروتون فن آوری در گزارش خود توضیحی در مورد این تصمیم ارائه داده است.
این ممیزی بر اساس “صندوق زمانی” انجام شد. این بدان معناست که SEC Consult برای مدت زمان مشخصی به دنبال آسیب پذیری های برنامه شد – در این حالت مدت شش روز برای هر برنامه.
اگرچه این رویکرد بدان معنی است که ممیزی امنیتی نمی تواند جامع تلقی شود ، علاوه بر این ProtonVPN هر چهار برنامه منبع باز را نیز ساخته است ، به هر متخصص حرفه ای یا کاربران اجازه می دهد تا کد مربوط به آسیب پذیری ها را بررسی کنند..
ProtonVPN ادعا می کند “اولین ارائه دهنده VPN است که کد منبع خود را در تمام سیستم عامل ها منتشر کرده و یک ممیزی امنیتی مستقل را انجام می دهد.”
NordVPN ، ExpressVPN ، Surfshark و Tunnelbear از دیگر ارائه دهندگان VPN برای انجام ممیزی های امنیتی برخی یا همه برنامه های آنها هستند.
همچنین VPN های دیگری مانند AirVPN و Mulvad نیز وجود دارند که برنامه هایی کاملاً منبع باز را توسعه می دهند.
مولود همچنین ممیزی امنیتی را انجام داده است – هرچند که در iOS نیست ، که برنامه ای برای آن ندارد.
ممکن است ProtonVPN تنها VPN نباشد که تحت آزمایش های مستقل قرار گرفته و همه برنامه های آن را منبع باز قرار داده است ، اما اکنون این حوزه را رهبری می کند.
سردبیر Top10VPN.com ، Callum Tennent با بیان این خبر ، گفت: “ما از دیدن مراحلی که ProtonVPN انجام داده خوشحالیم. شفافیت و اعتماد برای یک VPN بسیار مهم است ، و ترکیب یک ممیزی خارجی مستقل و یک محصول منبع باز یک اطمینان بزرگ است..
“ما صمیمانه امیدواریم که بیشتر VPN ها نیز چنین مسأله ای را انجام دهند. ممیزی ها روز به روز متداول تر شده اند ، و یقین است که تعداد ارائه دهندگان VPN که تحت آنها قرار دارند ، در سال 2023 افزایش می یابد – اما برنامه نویسی منبع باز همچنان عجیب و غریب است..
وی گفت: “با توجه به هکرها و عواملی که در دنیا وجود دارد و بر روی کد منبع ProtonVPN کاملاً ثابت است ، شک نداریم که این محصول محصولی امن تر و مطمئن تر از همیشه باشد.”
استفاده از نرم افزار منبع باز و اجازه دادن به اشخاص ثالث قابل اعتماد برای نظارت بر نرم افزار و فرآیندهای خود ، دو روش است که ارائه دهندگان VPN سعی در استفاده از آنها برای ایجاد اعتماد با کاربران خود دارند.
اندی ین مدیرعامل ProtonVPN در بیانیه ای در مورد ممیزی گفت: “خدمات VPN می توانند از لحاظ فنی به برخی از داده های کاربر حساس دسترسی پیدا کنند ، به همین دلیل کاربران باید شفافیت و امنیت را با استفاده از سابقه انتخاب کنند..
اندی ین بنیانگذار و مدیر عامل شرکت ProtonVPN ،
“این اعتماد باید به دست بیاورد و با انتشار کد ما ، امیدواریم تعهد خود را نسبت به همیشه در فراتر و فراتر از امنیت در هنگام امنیت و قرار دادن کاربران در اولویت خود نشان دهد.”
ProtonVPN با ممیزی در مورد امنیت برنامه های خود به کاربران اطمینان داده است که خدمات آن بی خطر است. اما ، از آنجا که این حسابرسی متعلق به مشتری ها است و نه شیوه های ورود به سیستم ProtonVPN ، نمی تواند تضمین کند که ارائه دهنده VPN دقیقاً آنچه را که می گوید در خط مشی رازداری خود انجام می دهد.
همیشه توصیه می شود کاربران از محتویات ممیزی تحقیق کنند ، زیرا آنها اغلب در یک محدوده از پیش تعریف شده تحقیق می کنند ، که ممکن است برنامه ها یا خط مشی خاصی را شامل نشود..
برای اثبات اینکه ProtonVPN با خط مشی ورود به سیستم مطابقت دارد ، یک حسابرسی سمت دیگر سرور ضروری است.
ممیزی برنامه اندروید و ویندوز در Q1 2023 انجام شد و هر دو طبقه بندی ریسک اولیه متوسط را از حسابرس بازگردانده اند.
SEC Consult چهار آسیب پذیری کم خطر و یک آسیب پذیری بالا را در برنامه اندرویدی و همچنین دو آسیب پذیری کم خطر و دو آسیب پذیری با ریسک متوسط در برنامه دسک تاپ شناسایی کرد..
در برنامه آندروید ، همه به جز دو آسیب پذیری کم خطر با عنوان “پیام های اشکال زدایی فعال شده” و “اعتبارهای رمزگذاری شده / رمزگذاری اطلاعات ناقص” برطرف شدند.
اولین آسیب پذیری Android که توسط Proton Technologies پذیرفته شده است ، وجود پیام های اشکال زدایی حاوی داده های حساس حساس است – به طور خاص اعتبار پروتکل OpenVPN و IKEv2.
Proton Technologies این اطلاعات را کم خطر می داند ، زیرا “به گونه ای طراحی شده است که از اعتبار حساب کاربر جدا شود.” علاوه بر این ، اظهار می دارد که این سیاهه اشکال زدایی فراتر از کنترل خود برنامه نیست..
آسیب پذیری دیگری که توسط Proton Technologies در Android پذیرفته شده است ، وجود اعتبار در دودویی برنامه است که به همراه شناسه دستگاه منحصر به فرد می تواند برای رمزگشایی داده ها از برنامه استفاده شود. Proton technology AG در پاسخ به این موضوع با بیان اینکه این اعتبارنامه ها برای ارسال گزارش های استثنائی به سیستم ورود به سیستم استفاده می شود ، افزود: “نقطه پایانی API برای گزارش نادر است [sic].”
در ویندوز ، هر دو آسیب پذیری کم خطر برطرف شده و هر دو آسیب پذیری با ریسک متوسط پذیرفته شده اند.
یکی از آسیب پذیری های پذیرفته شده اما توسط Proton Technologies برطرف نشده ، ماندگاری نشانه های جلسات جلسات متن و اعتبار VPN بود. ارائه دهنده VPN با بیان اینکه “جمع آوری زباله های دات نت و GO خارج از کنترل ما هستند پاسخ داد و هیچ راهی وجود ندارد که بتواند آنها را مجبور کند تا حافظه های بلااستفاده را پاک کنند.”
نشانه های جلسه و اعتبار VPN ذخیره شده در این سناریو بلافاصله پس از خروج از اعتبار خارج می شوند.
SEC Consult همچنین یک آسیب پذیری بالقوه در سخت افزار کدنویسی اعتبار در برنامه را مشخص کرد. Proton Technologies این آسیب پذیری را پذیرفت ، اما این مسئله را برطرف نکرد ، با بیان اینکه اعتبار کلیدهای OpenVPN TLS-auth است ، که قبلاً به صورت آشکار در پرونده های پیکربندی توزیع شده اند..
Proton Technologies توضیح داد: “این کار برای احراز هویت سرور به مشتری یا بالعکس مورد استفاده قرار نمی گیرد – سیستم های جداگانه ای برای انجام آن عملکردها وجود دارد. بنابراین ، داشتن این اطلاعات به مهاجمی این امکان را برای جعل هویت یک سرور / کاربر یا MITM [مرد در حمله میانه] را نمی دهد. “
دسته دوم از ممیزی ها در آگوست 2023 انجام شد ، این بار برای برنامه های iOS و MacOS.
حسابرسی MacOS هیچ آسیب پذیری پیدا نکرد و ممیزی iOS فقط دو آسیب پذیری کم خطر را در بر داشت. یکی از این آسیب پذیری ها برطرف شد و دیگری ، “اجرای برنامه موبایل روی جیل بریک یا دستگاه ریشه دار” پذیرفته شد.
Proton Technologies در یادداشتی مبنی بر عدم رسیدگی به این آسیب پذیری کم خطر ، اظهار داشت: “ما رفع نخواهیم کرد زیرا هیچ راه حلی برای تشخیص قابل اطمینان وجود ندارد که آیا دستگاه iOS دارای فرار از زندان بوده یا روت شده است. علاوه بر این ، ما انتظار داریم که کاربران یک بار بهم ریخته و یا روت شوند ، مسئولیت امنیت دستگاه خود را بر عهده بگیرند. “