2020年1月21日,VPN提供商ProtonVPN宣布已委托由安全咨询公司SEC Consult进行的独立安全审核。.

由母公司Proton Technologies AG拥有的ProtonVPN已公开发布了此审核的简化版本(包含所有潜在漏洞)。任何人都可以在其网站上查看Android,iOS,MacOS和Windows的结果.

每个审核报告都会在SEC Consult调查之前和之后审查应用程序的潜在安全漏洞。.

在所有平台上,协商仅发现了中低风险漏洞。在报告中,SEC Consult确认所有这些漏洞已被Proton Technologies修复或接受.

如果漏洞被接受而不是被修复,Proton Technologies在报告中提供了解释此决定的评论.

审核是在“时间表”的基础上进行的。这意味着SEC Consult会在特定时间范围内寻找应用程序中的漏洞-在这种情况下,每个应用程序都需要六天的时间.

虽然这种方法意味着不能认为安全审核是全面的,但ProtonVPN还使所有四个应用程序都开源,从而允许任何安全专业人员或用户检查代码中的漏洞。.

ProtonVPN声称是“第一家在所有平台上发布其源代码并进行独立安全审核的VPN提供商。”

其他VPN提供商中也有NordVPN,ExpressVPN,Surfshark和Tunnelbear对其部分或全部应用进行安全审核.

还有其他VPN,例如AirVPN和Mullvad,它们开发了完全开源的应用程序.

Mullvad还进行了安全审核-尽管不是在iOS上进行的,但iOS上没有用于.

ProtonVPN可能不是唯一经过独立审核并使其所有应用程序开源的VPN,但它现在在该领域处于领先地位.

Top10VPN.com的编辑Callum Tennent在发布公告时说:“我们很高兴看到ProtonVPN采取的步骤。透明性和信任对于VPN至关重要,将独立的外部审核与开放源代码产品相结合是一个很大的保证。.

我们衷心希望更多的VPN采取类似的策略。审核变得越来越普遍,可以肯定的是,接受审核的VPN提供商的数量将在2020年增加-但是开源编程仍然很罕见.

“现在,全世界的黑客和隐私爱好者都将目光投向了ProtonVPN的源代码,毫无疑问,它会比以往任何时候都更安全,更安全。”

VPN提供商试图使用开放源代码软件并允许受信任的第三方审核其软件和过程,这是VPN提供商试图用来与用户建立信任的两种方法.

ProtonVPN首席执行官安迪(Andy Yen)在审计声明中表示:“ VPN服务可以从技术上访问一些非常敏感的用户数据,这就是为什么用户应选择具有透明度和安全性记录的服务.

ProtonVPN联合创始人兼首席执行官Andy Yen的照片

ProtonVPN联合创始人兼首席执行官Andy Yen

“必须赢得这种信任,并且通过发布我们的代码,我们希望表现出我们的承诺,即在安全性和用户至上方面始终超越一切。”

通过审核其应用程序的安全性,ProtonVPN帮助确保了用户其服务的安全性。但是,由于此审核是针对客户端的,而不是ProtonVPN的日志记录做法,因此不能保证VPN提供商完全按照其隐私政策的规定行事.

始终建议用户调查审核的内容,因为他们经常在预定义的范围内进行调查,而该范围可能不包括某些应用程序或策略.

必须进行进一步的服务器端审核,以证明ProtonVPN符合其日志记录策略.

Android和Windows应用程序审核于2019年第一季度进行,均返回了审核员对介质的初始风险分类.

SEC Consult确定了Android应用中的四个低风险漏洞和一个高风险漏洞,以及桌面应用中的两个低风险漏洞和两个中风险漏洞.

在Android应用程序中,修复了两个低风险漏洞,分别为“已启用调试消息”和“硬编码凭据/不完美数据加密”。

Proton Technologies接受的第一个Android漏洞是存在包含潜在敏感数据的调试消息-特别是OpenVPN和IKEv2协议凭据.

Proton Technologies认为此信息的风险很低,因为它“被设计为与用户的帐户凭据分开”。此外,它指出此调试日志超出了应用程序本身的控制范围.

Android上Proton Technologies接受的另一个漏洞是应用程序二进制文件中存在凭据,凭据可以与唯一的设备ID一起用于解密应用程序中的数据。 Proton Technologies AG对此做出回应,称这些凭证用于将异常报告发送到其日志记录系统,并补充说:“用于报告的API端点很少有限制[sic]。”

在Windows上,两个低风险漏洞都已修复,两个中风险漏洞都已接受.

Proton Technologies接受但未解决的一个漏洞是纯文本会话令牌和VPN凭据的持久存储。 VPN提供商回应说:“。NET和GO垃圾收集器不在我们的控制范围之内,无法确定性地迫使它们清除未使用的内存。”

注销后立即使在这种情况下存储的会话令牌和VPN凭证无效.

SEC Consult还发现了将凭据硬编码到应用程序中的潜在漏洞。 Proton Technologies接受但未解决此漏洞,指出凭据是OpenVPN TLS身份验证密钥,已在配置文件中公开分发.

Proton Technologies澄清说:“它不用于服务器到客户端的身份验证或反之亦然-设有单独的系统来处理这些功能。因此,拥有此信息并不能使攻击者冒充服务器/用户或MITM(中间人攻击)连接。

2019年8月进行了第二套审核,这次是针对iOS和MacOS应用程序的审核.

MacOS审核未发现漏洞,而iOS审核仅发现了两个低风险漏洞。这些漏洞中的一个已得到修复,另一个漏洞“在越狱或rooted设备上运行移动应用程序”已被接受.

在关于不解决这一低风险漏洞的决定的说明中,Proton Technologies表示:“我们将无法解决,因为没有一种解决方案能够可靠地检测iOS设备是否已经越狱或生根。此外,我们希望用户一旦越狱或生根,就应对设备的安全负责。”

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me