Στις 21 Ιανουαρίου 2020, ο πάροχος VPN ProtonVPN ανακοίνωσε ότι είχε αναθέσει σε ανεξάρτητο έλεγχο ασφαλείας την οποία ανέλαβε η συμβουλευτική εταιρεία SEC Consult.

Το ProtonVPN, που ανήκει στη μητρική εταιρεία Proton Technologies AG, έχει κάνει μια συντομευμένη έκδοση αυτού του ελέγχου (που περιέχει όλες τις πιθανές ευπάθειες) δημόσια. Ο καθένας μπορεί να δει τα αποτελέσματα για Android, iOS, MacOS και Windows στον ιστότοπό του.

Κάθε έκθεση ελέγχου εξετάζει πιθανές αδυναμίες ασφαλείας μιας εφαρμογής τόσο πριν όσο και μετά την έρευνα της SEC Consult.

Σε όλες τις πλατφόρμες, η διαβούλευση βρήκε μόνο τρωτά σημεία χαμηλού και μεσαίου κινδύνου. Στην έκθεση SEC Consult επιβεβαιώνει ότι όλα αυτά τα τρωτά σημεία είτε έχουν καθοριστεί είτε έχουν γίνει δεκτά από την Proton Technologies.

Σε περιπτώσεις όπου τα τρωτά σημεία έχουν γίνει αποδεκτά και όχι σταθερά, η Proton Technologies υπέβαλε σχόλιο στην έκθεση που εξηγεί αυτή την απόφαση.

Ο έλεγχος διεξήχθη με βάση το "χρονοδιάγραμμα". Αυτό σημαίνει ότι η SEC Consult εξέτασε ευπάθειες στην εφαρμογή για ένα καθορισμένο χρονικό διάστημα - στην περίπτωση αυτή, μια περίοδο έξι ημερών για κάθε εφαρμογή.

Ενώ αυτή η προσέγγιση σημαίνει ότι ο έλεγχος ασφάλειας δεν μπορεί να θεωρηθεί πλήρης, το ProtonVPN έχει επιπλέον κάνει και τις τέσσερις εφαρμογές ανοιχτού κώδικα, επιτρέποντας σε οποιονδήποτε επαγγελματίες ασφαλείας ή χρήστες να επιθεωρούν τον κώδικα για ευπάθειες.

Το ProtonVPN ισχυρίζεται ότι είναι "ο πρώτος παροχέας VPN που θα κυκλοφορήσει τον πηγαίο κώδικα του σε όλες τις πλατφόρμες και θα διεξάγει έναν ανεξάρτητο έλεγχο ασφαλείας".

Το NordVPN, το ExpressVPN, το Surfshark και το Tunnelbear είναι μεταξύ των άλλων παρόχων VPN που αναλαμβάνουν ελέγχους ασφαλείας για κάποιες ή για όλες τις εφαρμογές τους.


Υπάρχουν επίσης και άλλα δίκτυα VPN, όπως το AirVPN και το Mullvad, τα οποία αναπτύσσουν πλήρως εφαρμογές ανοιχτού κώδικα.

Η Mullvad διενήργησε επίσης έλεγχο ασφάλειας - αν και δεν βρίσκεται σε iOS, για την οποία δεν έχει εφαρμογή.

Το ProtonVPN μπορεί να μην είναι το μόνο VPN που έχει υποβληθεί σε ανεξάρτητους ελέγχους και έχει κάνει όλες τις εφαρμογές του ανοιχτού κώδικα, αλλά τώρα οδηγεί το πεδίο.

Μιλώντας για την ανακοίνωση, ο Εκδότης του Top10VPN.com Callum Tennent δήλωσε: "Είμαστε ευτυχείς που βλέπουμε τα βήματα που έλαβε το ProtonVPN. Η διαφάνεια και η εμπιστοσύνη είναι τόσο σημαντικές για ένα VPN και ο συνδυασμός ενός ανεξάρτητου εξωτερικού ελέγχου και ενός προϊόντος ανοικτής πηγής αποτελούν μια τεράστια διαβεβαίωση.

"Ελπίζουμε ειλικρινά ότι περισσότερα δίκτυα VPN θα πάρουν παρόμοια λύση. Οι έλεγχοι έχουν γίνει ολοένα και πιο συνηθισμένοι και είναι βέβαιο ότι ο αριθμός των παρόχων VPN που θα τους υποβληθούν θα αυξηθεί το 2020 - αλλά ο προγραμματισμός ανοιχτού κώδικα εξακολουθεί να είναι παράξενα σπάνιος.

"Με τα μάτια των χάκερ και των υπερασπιστών της ιδιωτικής ζωής στον κόσμο, οι οποίοι τώρα καθορίζονται με βάση τον πηγαίο κώδικα του ProtonVPN, δεν έχουμε καμία αμφιβολία ότι θα είναι ένα ασφαλέστερο και ασφαλέστερο προϊόν από ποτέ".

Η χρήση λογισμικού ανοιχτού κώδικα και η δυνατότητα των αξιόπιστων τρίτων να ελέγχουν τόσο το λογισμικό όσο και τις διαδικασίες τους είναι δύο μέθοδοι που οι πάροχοι VPN προσπάθησαν να χρησιμοποιήσουν για να δημιουργήσουν εμπιστοσύνη στους χρήστες τους.

Σε μια δήλωση σχετικά με τον έλεγχο, ο CEO της ProtonVPN Andy Yen δήλωσε: "Οι υπηρεσίες VPN μπορούν τεχνικά να έχουν πρόσβαση σε μερικά πολύ ευαίσθητα δεδομένα χρήστη και γι 'αυτό οι χρήστες θα πρέπει να επιλέξουν υπηρεσίες με ιστορικό για διαφάνεια και ασφάλεια.

Φωτογραφία του Συνιδρυτή και Διευθύνοντος Συμβούλου ProtonVPN, Andy Yen

ProtonVPN συνιδρυτής και διευθύνων σύμβουλος, Andy Yen

"Αυτή η εμπιστοσύνη πρέπει να κερδηθεί και με τη δημοσίευση του κώδικα μας, ελπίζουμε να επιδείξουμε τη δέσμευσή μας να πηγαίνουμε πάντα πάνω και πέρα, όταν πρόκειται για την ασφάλεια και την πρώτη θέση των χρηστών".

Ελέγχοντας την ασφάλεια των εφαρμογών της, το ProtonVPN βοήθησε τους χρήστες να βεβαιωθούν ότι η υπηρεσία είναι ασφαλής. Όμως, δεδομένου ότι ο έλεγχος αυτός αφορά τους πελάτες και όχι τις πρακτικές καταγραφής ProtonVPN, δεν μπορεί να εγγυηθεί ότι ο πάροχος VPN κάνει ακριβώς αυτό που λέει στην πολιτική απορρήτου του.

Είναι πάντα σκόπιμο οι χρήστες να διερευνούν τα περιεχόμενα ενός ελέγχου, καθώς συχνά ερευνούν εντός ενός προκαθορισμένου πεδίου εφαρμογής, το οποίο μπορεί να μην περιλαμβάνει συγκεκριμένες εφαρμογές ή πολιτικές.

Ένας περαιτέρω έλεγχος από πλευράς διακομιστή θα ήταν απαραίτητος για να αποδειχθεί ότι το ProtonVPN συμμορφώνεται με την πολιτική καταγραφής του.

Οι έλεγχοι εφαρμογών Android και Windows πραγματοποιήθηκαν το Q1 του 2019, και οι δύο επέστρεψαν μια αρχική ταξινόμηση κινδύνου από τον ελεγκτή.

Η SEC Consult προσδιόρισε τέσσερα τρωτά σημεία χαμηλού κινδύνου και μία ευπάθεια υψηλού κινδύνου στην εφαρμογή Android, καθώς και δύο ευπάθειες χαμηλού κινδύνου και δύο ευπάθειες μεσαίου κινδύνου στην εφαρμογή για υπολογιστές.

Στην εφαρμογή Android, καθορίστηκαν όλα τα τρωτά σημεία εκτός από δύο χαμηλού κινδύνου, με τίτλο "Ενεργοποιημένα μηνύματα εντοπισμού σφαλμάτων" και "Επιβεβαίωση κωδικού πρόσβασης / ατελής κρυπτογράφηση δεδομένων".

Το πρώτο ευπάθεια Android που έγινε αποδεκτό από την Proton Technologies ήταν η παρουσία μηνυμάτων εντοπισμού σφαλμάτων που περιέχουν δυνητικά ευαίσθητα δεδομένα - συγκεκριμένα διαπιστευτήρια πρωτοκόλλου OpenVPN και IKEv2.

Η Proton Technologies θεωρεί ότι η πληροφορία αυτή είναι χαμηλού κινδύνου, καθώς είναι "σχεδιασμένη για να είναι ξεχωριστή από τα διαπιστευτήρια λογαριασμού ενός χρήστη". Επιπλέον, δηλώνει ότι αυτό το αρχείο εντοπισμού σφαλμάτων είναι πέρα ​​από τον έλεγχο της ίδιας της εφαρμογής.

Η άλλη ευπάθεια που δέχεται η Proton Technologies στο Android είναι η παρουσία διαπιστευτηρίων στο δυαδικό αρχείο της εφαρμογής, το οποίο, μαζί με ένα μοναδικό αναγνωριστικό συσκευής, θα μπορούσε να χρησιμοποιηθεί για την αποκρυπτογράφηση δεδομένων από την εφαρμογή. Η Proton Technologies AG απάντησε σε αυτό λέγοντας ότι αυτά τα διαπιστευτήρια χρησιμοποιούνται για την αποστολή εκθέσεων εξαίρεσης στο σύστημα καταγραφής, προσθέτοντας ότι "το τελικό σημείο API για αναφορά είναι σπάνιο [sic]."

Στα Windows, τα τρωτά σημεία χαμηλού κινδύνου ήταν σταθερά και έγιναν αποδεκτές και οι δύο ευπάθειες μεσαίου κινδύνου.

Ένα τρωτό σημείο που έγινε δεκτό αλλά δεν καθορίστηκε από την Proton Technologies ήταν η παρατεταμένη αποθήκευση μαρκών συνόδου απλού κειμένου και πιστοποιήσεων VPN. Ο πάροχος VPN απάντησε λέγοντας ότι "οι συλλέκτες απορριμμάτων .NET και GO είναι εκτός ελέγχου μας και δεν υπάρχει τρόπος να τους προκαλέσουμε προκαθορισμένα να καθαρίσουμε τη μη χρησιμοποιούμενη μνήμη".

Τα αναγνωριστικά περιόδου σύνδεσης και τα διαπιστευτήρια VPN που είναι αποθηκευμένα σε αυτό το σενάριο ακυρώνονται αμέσως κατά την αποσύνδεση.

Η SEC Consult επίσης εντόπισε μια πιθανή ευπάθεια στο hardcoding των διαπιστευτηρίων στην εφαρμογή. Οι Proton Technologies δέχτηκαν αλλά δεν επιλύθηκαν αυτό το θέμα ευπάθειας, δηλώνοντας ότι τα διαπιστευτήρια είναι κλειδιά OpenVPN TLS-auth, τα οποία διανέμονται ήδη ανοιχτά σε αρχεία ρυθμίσεων.

Η Proton Technologies διευκρίνισε: "Δεν χρησιμοποιείται για τον έλεγχο ταυτότητας του διακομιστή σε πελάτη ή το αντίστροφο - υπάρχουν ξεχωριστά συστήματα για τη διαχείριση αυτών των λειτουργιών. Επομένως, η κατοχή αυτών των πληροφοριών δεν εξουσιοδοτεί έναν εισβολέα να μιμηθεί έναν διακομιστή / χρήστη ή ένα MITM [Άνδρας στη Μέση επίθεση] μια σύνδεση. "

Ένα δεύτερο σύνολο ελέγχων πραγματοποιήθηκε τον Αύγουστο του 2019, αυτή τη φορά για τις εφαρμογές iOS και MacOS.

Ο έλεγχος MacOS δεν διαπίστωσε τρωτά σημεία και ο έλεγχος iOS διαπίστωσε δύο μόνο τρωτά σημεία χαμηλού κινδύνου. Ένα από αυτά τα τρωτά σημεία επιδιορθώθηκε και το άλλο, "Το Mobile App Runs on Jailbroken ή Rooted Device" έγινε αποδεκτό.

Σε μια σημείωση σχετικά με την απόφαση να μην αντιμετωπιστεί αυτή η ευπάθεια χαμηλού κινδύνου, η Proton Technologies δήλωσε: "Δεν πρόκειται να διορθώσουμε, καθώς δεν υπάρχει λύση για την αξιόπιστη ανίχνευση εάν μια συσκευή iOS έχει jailbroken ή ριζωμένη. Επιπλέον, αναμένουμε από τους χρήστες να είναι υπεύθυνοι για την ασφάλεια της συσκευής τους μόλις αποφευχθούν jailbroken ή ριζωμένες. "

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me