في 21 كانون الثاني (يناير) 2020 ، أعلن مزود VPN ProtonVPN أنه طلب إجراء تدقيق أمني مستقل ، قامت به شركة الاستشارات الأمنية SEC Consult.

قامت شركة ProtonVPN ، المملوكة من قبل الشركة الأم Proton Technologies AG ، بإصدار نسخة مختصرة من هذا التدقيق (الذي يحتوي على جميع الثغرات المحتملة). يمكن لأي شخص عرض نتائج Android و iOS و MacOS و Windows على موقعه على الويب.

يستعرض كل تقرير تدقيق الثغرات الأمنية المحتملة لأحد التطبيقات قبل وبعد تحقيق SEC Consult.

في جميع المنصات ، وجدت المشاورة نقاط ضعف منخفضة ومتوسطة المخاطر فقط. في التقرير تؤكد SEC Consult أن كل هذه الثغرات قد تم إصلاحها أو قبولها من قبل بروتون تكنولوجيز.

في الحالات التي تم فيها قبول الثغرات الأمنية بدلاً من إصلاحها ، قدمت بروتون تكنولوجيز تعليقًا في التقرير يشرح هذا القرار.

تمت المراجعة على أساس "timebox". هذا يعني أن SEC Consult بحثت عن نقاط الضعف في التطبيق لفترة محددة من الوقت - في هذه الحالة فترة ستة أيام لكل تطبيق.

على الرغم من أن هذا النهج يعني أن تدقيق الأمان لا يمكن اعتباره شاملاً ، إلا أن ProtonVPN جعل جميع التطبيقات الأربعة مفتوحة المصدر ، مما سمح لأي محترفي أمان أو مستخدمين بفحص الكود بحثًا عن نقاط الضعف.

تدعي ProtonVPN بأنها "أول مزود VPN الذي يصدر شفرة المصدر الخاصة به على جميع المنصات وإجراء تدقيق أمني مستقل."

تعد NordVPN و ExpressVPN و Surfshark و Tunnelbear من بين مزودي خدمة VPN الآخرين لإجراء تدقيقات أمنية لبعض أو كل تطبيقاتهم.


هناك أيضًا شبكات VPN أخرى ، مثل AirVPN و Mullvad ، التي تطور تطبيقات مفتوحة المصدر تمامًا.

أجرت Mullvad أيضًا تدقيقًا أمنيًا - على الرغم من عدم وجوده على نظام iOS ، وهو ليس به تطبيق.

قد لا يكون ProtonVPN هو VPN الوحيد الذي خضع لعمليات تدقيق مستقلة وجعل جميع تطبيقاته مفتوحة المصدر ، لكنه يتصدر الآن المجال.

متحدثاً عن هذا الإعلان ، قال محرر موقع Top10VPN.com Callum Tennent: "يسعدنا أن نرى الخطوات التي اتخذتها ProtonVPN. تعد الشفافية والثقة أمران مهمان بالنسبة لشبكة VPN ، ويمثل الجمع بين المراجعة الخارجية المستقلة والمنتج مفتوح المصدر طمأنة هائلة.

"نأمل مخلصين أن تأخذ المزيد من شبكات VPN شبكات مماثلة. أصبحت عمليات التدقيق أكثر شيوعًا ، ومن المؤكد أن عدد مزودي VPN الذين يخضعون لها سيزداد في عام 2020 - لكن البرمجة مفتوحة المصدر لا تزال غير شائعة بشكل غريب.

"نظرًا لأن عيون المتسللين وهواة الخصوصية في العالم مثبتة الآن بشكل مباشر على شفرة مصدر ProtonVPN ، فلا شك لدينا أنه سيكون منتجًا أكثر أمانًا وأمانًا من أي وقت مضى."

استخدام برنامج مفتوح المصدر والسماح لأطراف خارجية موثوقة بتدقيق كلاً من برامجهم وعملياتهم طريقتان حاول مزودو خدمة VPN استخدامه لبناء الثقة مع مستخدميهم.

في بيان حول التدقيق ، قال الرئيس التنفيذي لشركة ProtonVPN آندي ين: "يمكن لخدمات VPN الوصول تقنيًا إلى بعض بيانات المستخدم الحساسة للغاية ، ولهذا السبب يجب على المستخدمين اختيار الخدمات مع سجل حافل للشفافية والأمن.

Photo of بروتونفبن المؤسس المشارك والرئيس التنفيذي ، آندي ين

مؤسس ورئيس مشارك لشركة ProtonVPN ، آندي ين

"يجب كسب هذه الثقة ، ومن خلال نشر التعليمات البرمجية الخاصة بنا ، نأمل أن نظهر التزامنا تجاه الانتقال دائمًا إلى أبعد من ذلك عندما يتعلق الأمر بالأمن ووضع المستخدمين في المرتبة الأولى."

من خلال تدقيق أمان تطبيقاتها ، ساعد ProtonVPN على ضمان أن المستخدمين آمنون. ولكن نظرًا لأن هذه المراجعة تخص العملاء وليست ممارسات تسجيل ProtonVPN ، فلا يمكنها ضمان أن مزود VPN يقوم بما يقوله بالضبط في سياسة الخصوصية الخاصة به.

يُنصح المستخدمون دائمًا بالتحقيق في محتويات التدقيق ، حيث إنهم يبحثون غالبًا في نطاق محدد مسبقًا ، والذي قد لا يتضمن تطبيقات أو سياسات معينة.

سيكون من الضروري إجراء تدقيق إضافي من جانب الخادم لإثبات أن ProtonVPN يتوافق مع سياسة التسجيل الخاصة به.

تم إجراء عمليات تدقيق تطبيق Android و Windows في الربع الأول من عام 2019 ، وأرجع كلاهما تصنيفًا أوليًا للمخاطر من الوسيط من المراجع.

حددت SEC Consult أربعة نقاط ضعف منخفضة وخطورة واحدة عالية المخاطر في تطبيق Android ، بالإضافة إلى اثنين من نقاط الضعف منخفضة المخاطر واثنين من نقاط الضعف متوسطة المخاطر في تطبيق سطح المكتب.

في تطبيق Android ، تم إصلاح جميع الثغرات الأمنية المنخفضة ، باستثناء اثنين منها ، تحت عنوان "تمكين تصحيح الرسائل" و "بيانات اعتماد Hardcoded / تشفير البيانات غير الصحيحة".

كانت أول ثغرة أمنية في Android تم قبولها من قبل Proton Technologies هي وجود رسائل تصحيح تحتوي على بيانات قد تكون حساسة - خاصة بيانات اعتماد بروتوكول OpenVPN و IKEv2.

تعتبر Proton Technologies أن هذه المعلومات منخفضة المخاطر ، لأنها "مصممة لتكون منفصلة عن بيانات اعتماد حساب المستخدم". علاوة على ذلك ، تشير إلى أن سجل تصحيح الأخطاء هذا خارج عن سيطرة التطبيق نفسه.

تتمثل الثغرة الأخرى التي تقبلها Proton Technologies على Android في وجود بيانات اعتماد في التطبيق الثنائي ، والتي يمكن استخدامها ، بالإضافة إلى معرف جهاز فريد ، لفك تشفير البيانات من التطبيق. وردت بروتون تكنولوجيز إيه جي على هذا بالقول إن أوراق الاعتماد هذه تستخدم لإرسال تقارير استثناء إلى نظام التسجيل الخاص بها ، مضيفة أن "نقطة نهاية واجهة برمجة التطبيقات للإبلاغ محدودة للغاية [كذا]."

على نظام التشغيل Windows ، تم إصلاح الثغرات المنخفضة المخاطر وتم قبول الثغرات متوسطة الخطورة.

إحدى الثغرات التي تم قبولها ولكن لم يتم إصلاحها من قبل Proton Technologies هي التخزين المستمر لرموز جلسات النص العادي وبيانات اعتماد VPN. ورد موفر VPN بالقول إن "مجمعي البيانات المهملة .NET و GO خارج عن سيطرتنا ولا توجد طريقة لإجبارهم بشكل قاطع على محو الذاكرة غير المستخدمة."

يتم إبطال رموز جلسة العمل وبيانات اعتماد VPN المخزنة في هذا السيناريو فور تسجيل الخروج.

حددت SEC Consult أيضًا ثغرة أمنية محتملة في تثبيت أوراق الاعتماد في التطبيق. قبلت Proton Technologies لكنها لم تحل مشكلة عدم الحصانة هذه ، موضحة أن بيانات الاعتماد هي مفاتيح مصادقة OpenVPN TLS ، والتي يتم توزيعها بالفعل بشكل مفتوح في ملفات التهيئة.

أوضحت Proton Technologies: "لا يتم استخدامه للمصادقة إما من خادم إلى عميل أو العكس - هناك أنظمة منفصلة قائمة للتعامل مع هذه الوظائف. وبالتالي ، فإن امتلاك هذه المعلومات لا يُمكّن المهاجم من انتحال شخصية خادم / مستخدم أو MITM [رجل في الهجوم الأوسط] اتصالًا. "

تم إجراء مجموعة ثانية من عمليات التدقيق في أغسطس 2019 ، وهذه المرة لتطبيقات iOS و MacOS.

لم تجد مراجعة نظام التشغيل MacOS أي نقاط ضعف ، ووجدت مراجعة نظام التشغيل iOS اثنين فقط من نقاط الضعف منخفضة المخاطر. تم إصلاح إحدى هذه الثغرات الأمنية وتم قبول الأخرى ، "تشغيل تطبيق الهاتف المحمول على جهاز Jailbroken أو Roots".

في مذكرة حول القرار بعدم معالجة مشكلة عدم الحصانة المنخفضة هذه ، قالت بروتون تكنولوجيز: "لن نصلح لأنه لا يوجد حل واحد لاكتشاف ما إذا كان جهاز iOS قد تم كسره أو كسر جذره. علاوة على ذلك ، نتوقع أن يكون المستخدمون مسؤولين عن أمان أجهزتهم بمجرد كسر الحماية أو تجذيرهم. "

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me