2020 년 1 월 21 일, VPN 제공 업체 인 ProtonVPN은 보안 컨설팅 회사 인 SEC Consult가 수행 한 독립적 인 보안 감사를 의뢰했다고 발표했습니다..

모회사 인 Proton Technologies AG가 소유 한 ProtonVPN은이 감사의 요약 된 버전 (모든 잠재적 취약점 포함)을 공개했습니다. 누구나 웹 사이트에서 Android, iOS, MacOS 및 Windows에 대한 결과를 볼 수 있습니다.

각 감사 보고서는 SEC Consult의 조사 전후에 앱의 잠재적 인 보안 취약성을 검토합니다..

모든 플랫폼에서이 협의는 위험이 낮고 중간 정도 인 취약점 만 발견했습니다. 보고서에서 SEC Consult는 이러한 모든 취약점이 Proton Technologies에 의해 수정되었거나 승인되었음을 확인합니다..

수정 된 것이 아니라 취약성이 승인 된 경우, Proton Technologies는이 결정을 설명하는 보고서에 의견을 제공했습니다..

감사는 "타임 박스"기준으로 수행되었습니다. 이는 SEC Consult가 정해진 시간 동안 앱에서 취약점을 찾았 음을 의미합니다.이 경우 각 앱에 대해 6 일의 기간.

이 접근 방식은 보안 감사를 포괄적으로 간주 할 수 없지만 ProtonVPN은 추가로 4 개의 앱을 모두 공개 소스로 만들었으므로 보안 전문가 나 사용자가 코드의 취약점을 검사 할 수 있습니다.

ProtonVPN은“모든 플랫폼에서 소스 코드를 공개하고 독립적 인 보안 감사를 수행하는 최초의 VPN 제공 업체”라고 주장합니다.

NordVPN, ExpressVPN, Surfshark 및 Tunnelbear는 일부 또는 모든 앱의 보안 감사를 수행하는 다른 VPN 제공 업체 중 하나입니다..

완전히 오픈 소스 앱을 개발하는 AirVPN 및 Mullvad와 같은 다른 VPN도 있습니다.

Mullvad는 보안 감사를 수행했습니다. iOS 용 앱은 없지만 iOS 용 앱은 없습니다..

ProtonVPN은 독립적 인 감사를 받고 모든 앱을 공개 소스로 만든 유일한 VPN은 아니지만 현재는 업계를 주도하고 있습니다..

발표에 관해 Top10VPN.com Callum Tennent의 편집장은“ProtonVPN이 취한 조치를 보게되어 기쁩니다. VPN의 투명성과 신뢰는 매우 중요하며 독립적 인 외부 감사와 오픈 소스 제품의 조합은 큰 확신입니다..

“우리는 더 많은 VPN이 비슷한 방식을 취하기를 진심으로 바랍니다. 감사가 점점 더 일반화되었으며 2020 년에 VPN 제공 업체의 수가 증가 할 것이라는 것은 확실하지만 오픈 소스 프로그래밍은 여전히 ​​흔하지 않습니다..

"ProtonVPN의 소스 코드에 해커와 개인 정보 보호 버프가 눈에 띄게 고정되어 있기 때문에 그 어느 때보 다 안전하고 안전한 제품이 될 것입니다."

오픈 소스 소프트웨어를 사용하고 신뢰할 수있는 제 3자가 소프트웨어와 프로세스를 모두 감사 할 수 있도록하는 것은 VPN 제공 업체가 사용자와 신뢰를 구축하는 데 사용하는 두 가지 방법입니다.

감사에 대한 성명에서 ProtonVPN CEO Andy Yen은 다음과 같이 말했습니다 :“VPN 서비스는 기술적으로 매우 민감한 일부 사용자 데이터에 액세스 할 수 있으므로 사용자는 투명성과 보안을 위해 실적이 우수한 서비스를 선택해야합니다.

Andy Yen의 공동 창립자이자 CEO 인 ProtonVPN의 사진

Andy Yen의 공동 창립자 겸 CEO

"이러한 신뢰를 얻어야하며, 코드를 게시함으로써 보안 및 사용자 우선 순위를 항상 넘어서 겠다는 약속을 보여 주려고합니다."

앱의 보안을 감사함으로써 ProtonVPN은 사용자에게 서비스가 안전하다는 것을 보증하는 데 도움을주었습니다. 그러나이 감사는 고객에 대한 것이며 ProtonVPN의 로깅 관행은 아니기 때문에 VPN 제공자가 개인 정보 보호 정책에 명시된 내용을 정확하게 수행한다고 보장 할 수 없습니다.

사용자는 종종 사전 정의 된 범위 내에서 조사하기 때문에 감사 내용을 조사하는 것이 좋습니다. 특정 앱이나 정책을 포함하지 않을 수도 있습니다..

ProtonVPN이 로깅 정책을 준수 함을 증명하기 위해 추가 서버 측 감사가 필요합니다..

2019 년 1 분기에 Android 및 Windows 앱 감사가 수행되었으며 감사 자로부터 매체의 초기 위험 분류를 반환했습니다..

SEC Consult는 Android 앱에서 4 가지 위험이 낮은 취약점과 1 가지 위험이 높은 취약점, 그리고 데스크톱 앱에서 2 가지 위험이 낮은 취약점과 2 가지 중간 위험이있는 취약점을 식별했습니다..

Android 앱에서 "Debug Messages Enabled"및 "Hardcoded Credentials / Imperfect Data Encryption"이라는 두 가지 저 위험 취약점을 제외한 모든 취약점이 수정되었습니다.

Proton Technologies가 승인 한 첫 번째 Android 취약점은 잠재적으로 민감한 데이터 (특히 OpenVPN 및 IKEv2 프로토콜 자격 증명)가 포함 된 디버그 메시지가 있다는 것입니다..

Proton Technologies는이 정보가“사용자의 계정 자격 증명과 분리되도록 설계 되었기 때문에”이 정보의 위험성이 낮다고 간주합니다. 또한이 디버그 로그는 앱 자체의 제어를 넘어서는 것입니다.

Android에서 Proton Technologies가 허용하는 다른 취약점은 고유 한 기기 ID와 함께 앱의 데이터를 해독하는 데 사용될 수있는 앱 바이너리에 자격 증명이 존재한다는 것입니다. Proton Technologies AG는 이러한 자격 증명을 사용하여 예외 보고서를 로깅 시스템에 전송하고 "보고 용 API 엔드 포인트는 거의 제한되지 않는다"고 말함으로써 이에 응답했습니다.

Windows에서는 위험도가 낮은 취약점이 모두 수정되었고 위험도가 낮은 취약점이 모두 허용되었습니다..

Proton Technologies가 수용했지만 수정하지 않은 한 가지 취약점은 일반 텍스트 세션 토큰과 VPN 자격 증명의 느린 저장 공간이었습니다. VPN 제공 업체는 ".NET 및 GO 가비지 수집기는 우리가 통제 할 수 없으며 사용하지 않는 메모리를 지우도록 결정적으로 강제 할 수있는 방법이 없습니다"라고 응답했습니다.

이 시나리오에 저장된 세션 토큰 및 VPN 자격 증명은 로그 아웃시 즉시 무효화됩니다..

SEC Consult는 또한 자격 증명을 앱에 하드 코딩하는 데 잠재적 인 취약점이 있음을 확인했습니다. Proton Technologies는 자격 증명이 OpenVPN TLS 인증 키이며 이미 구성 파일에 공개적으로 배포되어 있음을 나타내는이 취약점을 받아 들였지만 해결하지 못했습니다..

Proton Technologies는 다음과 같이 설명했습니다.“서버를 클라이언트로 또는 그 반대로 인증하는 데 사용되지 않습니다. 이러한 기능을 처리 할 별도의 시스템이 있습니다. 따라서이 정보를 가지고 있다고해서 침입자가 서버 / 사용자 또는 MITM [중간 공격 (Man in the Middle Attack)] 연결을 가장 할 수는 없습니다. "

이번에는 iOS 및 MacOS 앱에 대한 두 번째 감사 세트가 2019 년 8 월에 수행되었습니다..

MacOS 감사는 취약점을 발견하지 못했으며 iOS 감사는 두 가지 위험이 낮은 취약점을 발견했습니다. 이 취약점 중 하나가 수정되었으며 다른 하나는 "모바일 앱이 탈옥 또는 루팅 된 기기에서 실행 됨"이 승인 된 것입니다..

Proton Technologies는 이러한 저 위험 취약성을 해결하지 않기로 한 결정에 대해 다음과 같이 말했습니다.“iOS 기기가 탈옥 또는 루팅되었는지 여부를 확실하게 감지 할 수있는 솔루션이 없기 때문에 해결할 수 없습니다. 또한, 탈옥 또는 루팅되면 사용자는 기기의 보안에 대한 책임을 져야합니다.”

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me