2020年1月21日、VPNプロバイダーのProtonVPNは、セキュリティコンサルティング会社SEC Consultが実施する独立したセキュリティ監査を委託したと発表しました。.

親会社のProton Technologies AGが所有するProtonVPNは、この監査の要約版(潜在的な脆弱性をすべて含む)を公開しました。誰でもウェブサイトでAndroid、iOS、MacOS、およびWindowsの結果を表示できます.

各監査レポートは、SEC Consultの調査の前後に、アプリの潜在的なセキュリティ脆弱性をレビューします.

すべてのプラットフォームで、コンサルテーションは低および中リスクの脆弱性のみを発見しました。レポートでは、SEC Consultは、これらすべての脆弱性がProton Technologiesによって修正または受け入れられたことを確認しています。.

脆弱性が修正されたのではなく受け入れられた場合、Proton Technologiesはレポートでこの決定を説明するコメントを提供しました.

監査は「タイムボックス」ベースで実施されました。これは、SEC Consultが一定期間アプリ内の脆弱性を探していたことを意味します。この場合、アプリごとに6日間です。.

このアプローチはセキュリティ監査を包括的と見なすことはできないことを意味しますが、ProtonVPNはさらに4つのアプリすべてをオープンソースにし、セキュリティ専門家またはユーザーが脆弱性についてコードを検査できるようにしました.

ProtonVPNは、「すべてのプラットフォームでソースコードをリリースし、独立したセキュリティ監査を実施した最初のVPNプロバイダー」であると主張しています。

NordVPN、ExpressVPN、Surfshark、Tunnelbearは、アプリの一部またはすべてのセキュリティ監査を実施する他のVPNプロバイダーの1つです。.

AirVPNやMullvadなど、完全にオープンソースのアプリを開発する他のVPNもあります.

Mullvadは、セキュリティ監査も実施しました。ただし、iOSには対応していません。.

ProtonVPNは、独立監査を受け、すべてのアプリをオープンソースにした唯一のVPNではないかもしれませんが、現在、この分野をリードしています.

この発表について、Top10VPN.com Callum Tennentの編集者は次のように述べています。「ProtonVPNが取った手順を見てうれしく思います。 VPNにとって透明性と信頼は非常に重要であり、独立した外部監査とオープンソース製品の組み合わせは大きな安心です.

「より多くのVPNが同様の取り組みを行うことを心から願っています。監査はますます一般的になっており、2020年に監査を受けるVPNプロバイダーの数が増加することは確実ですが、オープンソースプログラミングは依然として奇妙なことです.

「ProtonVPNのソースコードを真っ直ぐに修正した世界のハッカーとプライバシー愛好家の目で、これまで以上に安全で安全な製品になることは間違いありません。」

オープンソースソフトウェアを使用し、信頼できるサードパーティがソフトウェアとプロセスの両方を監査できるようにすることは、VPNプロバイダーがユーザーとの信頼を構築するために使用しようとした2つの方法です.

監査に関する声明の中で、ProtonVPN CEOのAndy Yen氏は次のように述べています。.

ProtonVPNの共同設立者兼CEO、Andy Yenの写真

ProtonVPN共同設立者兼CEO、アンディイェン

「この信頼を獲得する必要があります。コードを公開することで、セキュリティとユーザーを最優先にすることに関して、常にそれ以上のことを行うというコミットメントを示したいと考えています。」

アプリのセキュリティを監査することにより、ProtonVPNはサービスが安全であることをユーザーに保証するのに役立ちました。ただし、この監査はクライアントのものであり、ProtonVPNのロギングプラクティスではないため、VPNプロバイダーがプライバシーポリシーに記載されているとおりに行うことを保証することはできません。.

特定のアプリやポリシーが含まれていない可能性がある事前定義された範囲内で調査することが多いため、ユーザーは常に監査の内容を調査することをお勧めします.

ProtonVPNがロギングポリシーに準拠していることを証明するには、さらにサーバー側の監査が必要です。.

AndroidおよびWindowsアプリの監査は2019年第1四半期に実施され、どちらも監査人から媒体の初期リスク分類を返しました.

SEC Consultは、Androidアプリの4つの低リスク脆弱性と1つの高リスク脆弱性、およびデスクトップアプリの2つの低リスク脆弱性と2つの中リスク脆弱性を特定しました。.

Androidアプリでは、「デバッグメッセージが有効」と「ハードコードされた認証情報/不完全なデータ暗号化」というタイトルの2つのリスクを除くすべての脆弱性が修正されました。

Proton Technologiesが受け入れた最初のAndroidの脆弱性は、潜在的に機密データを含むデバッグメッセージの存在でした-特にOpenVPNおよびIKEv2プロトコルの資格情報.

Proton Technologiesは、この情報は「ユーザーのアカウント認証情報から分離されるように設計されている」ため、この情報のリスクは低いと考えています。さらに、このデバッグログはアプリ自体の制御を超えていると述べています。.

Android上のProton Technologiesが受け入れる他の脆弱性は、アプリのバイナリに資格情報が存在することです。これは、一意のデバイスIDとともに、アプリからのデータを解読するために使用できます。 Proton Technologies AGは、これらの認証情報を使用して例外レポートをログシステムに送信し、「レポート用のAPIエンドポイントはまれに限られる[sic]」と付け加えてこれに応えました。

Windowsでは、両方の低リスクの脆弱性が修正され、両方の中リスクの脆弱性が受け入れられました.

Proton Technologiesによって受け入れられたが修正されなかった脆弱性の1つは、プレーンテキストセッショントークンとVPNクレデンシャルの長引くストレージでした。 VPNプロバイダーは、「。NETおよびGOガベージコレクターは私たちの制御の範囲外であり、未使用のメモリをクリアするように決定論的に強制する方法はありません。」と答えました。

このシナリオで保存されたセッショントークンとVPN資格情報は、ログアウトするとすぐに無効になります.

SEC Consultは、アプリへの資格情報のハードコーディングにおける潜在的な脆弱性も特定しました。 Proton Technologiesは受け入れましたが、この脆弱性を解決しませんでした。資格情報はOpenVPN TLS-authキーであり、設定ファイルで既にオープンに配布されています.

Proton Technologiesは次のように明確にしました。「サーバーからクライアント、またはその逆の認証には使用されません。これらの機能を処理する個別のシステムがあります。したがって、この情報を取得しても、攻撃者がサーバー/ユーザーまたはMITM [Man in the Middle attack]接続になりすますことはできません。」

2回目の監査は2019年8月に実施されました。今回はiOSおよびMacOSアプリ向けです。.

MacOS監査では脆弱性は検出されず、iOS監査では2つの低リスク脆弱性のみが検出されました。これらの脆弱性の1つは修正され、もう1つは「モバイルアプリがジェイルブレイクまたはルート化されたデバイスで実行される」が受け入れられた.

この低リスクの脆弱性に対処しないという決定に関するメモで、Proton Technologiesは次のように述べています。「iOSデバイスがジェイルブレイクまたはルート化されたかどうかを確実に検出するソリューションはないため、修正しません。さらに、ジェイルブレイクまたはルート化されると、ユーザーはデバイスのセキュリティに対して責任を負うことを期待しています。」

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me