ב- 21 בינואר 2023 ספקית ה- VPN, ProtonVPN, הודיעה כי הזמינה ביקורת אבטחה עצמאית, אשר נערכה על ידי חברת ייעוץ האבטחה SEC Consult..
ProtonVPN, בבעלות חברת האם Proton Technologies AG, פרסמה גרסה מקוצרת של ביקורת זו (המכילה את כל הפגיעויות הפוטנציאליות) לציבור. כל אחד יכול להציג את התוצאות עבור אנדרואיד, iOS, MacOS ו- Windows באתר שלו.
כל דו”ח ביקורת סוקר פגיעויות אבטחה אפשריות של יישום הן לפני החקירה של SEC Consult והן אחריו.
בכל הפלטפורמות, הייעוץ מצא רק פגיעות בסיכון נמוך ובינוני. בדוח SEC Consult מאשר כי כל הפגיעויות הללו תוקנו או התקבלו על ידי Proton Technologies.
במקרים בהם התקבלו פגיעויות במקום קבועות, פרוטון טכנולוגיות סיפקה תגובה בדוח המסבירה החלטה זו.
הביקורת נערכה על בסיס “תיבת זמן”. המשמעות היא ש- SEC Consult חיפש נקודות תורפה באפליקציה למשך זמן מוגדר – במקרה זה פרק זמן של שישה ימים לכל אפליקציה..
למרות שגישה זו פירושה שביקורת האבטחה לא יכולה להיחשב מקיפה, ProtonVPN הפכה בנוסף את כל ארבע האפליקציות למקור פתוח, ומאפשרת לכל אנשי מקצוע או למשתמשים באבטחה לבדוק את קוד הפגיעויות בקוד..
ProtonVPN טוען שהוא “ספק ה- VPN הראשון שמשחרר את קוד המקור שלו בכל הפלטפורמות ומבצע ביקורת אבטחה עצמאית.”
NordVPN, ExpressVPN, Surfshark ו- Tunnelbear הם בין ספקי ה- VPN האחרים שיבצעו ביקורת אבטחה של חלק מהיישומים שלהם או של כולם..
ישנם גם VPNs אחרים, כמו AirVPN ו- Mullvad, המפתחים אפליקציות עם קוד פתוח לחלוטין.
Mullvad ביצעה גם ביקורת אבטחה – אם כי לא ב- iOS, שאין לה אפליקציה עבורו.
ProtonVPN אולי לא ה- VPN היחיד שעבר ביקורת עצמאית והפך את כל האפליקציות שלה למקור פתוח, אך כעת הוא מוביל את התחום.
בעיתון ההודעה אמר עורך Top10VPN.com Callum Tennent: “אנו שמחים לראות את הצעדים ש- ProtonVPN ביצע. שקיפות ואמון חשובים כל כך ל- VPN, והשילוב של ביקורת חיצונית עצמאית ומוצר עם קוד פתוח הם ביטחון עצום..
“אנו מאוד מקווים שיותר VPNs נוקטים דומה. ביקורת הפכה נפוצה יותר ויותר, וזה וודאות שמספר ספקי ה- VPN שעברו אותם יגדל בשנת 2023 – אך תכנות בקוד פתוח עדיין נדירה באופן מוזר..
“בעיני ההאקרים וחובבי הפרטיות של העולם הנמצאים כעת באופן קבוע בקוד המקור של ProtonVPN, אין לנו ספק שהוא יהיה מוצר בטוח ובטוח מתמיד.”
השימוש בתוכנת קוד פתוח ומאפשר לצדדים שלישיים מהימנים לבצע ביקורת על התוכנה והתהליכים שלהם הן שתי שיטות שספקי ה- VPN ניסו להשתמש בכדי לבנות אמון עם המשתמשים שלהם..
בהצהרה על הביקורת אמר מנכ”ל פרוטונווני, אנדי ין: “שירותי VPN יכולים לגשת מבחינה טכנית לכמה נתוני משתמשים רגישים מאוד, וזו הסיבה שמשתמשים צריכים לבחור בשירותים עם רשומת מסלול לשקיפות ואבטחה..
מייסד משותף ומנכ”ל ProtonVPN, אנדי ין
“יש להרוויח אמון זה, ועל ידי פרסום הקוד שלנו אנו מקווים להפגין את המחויבות שלנו ללכת תמיד מעבר לכל מה שקשור לביטחון ולהעמיד את המשתמשים בראש.”
על ידי ביקורת על אבטחת האפליקציות שלה, ProtonVPN סייעה להבטיח למשתמשים שהשירות שלה מאובטח. אולם מכיוון שביקורת זו היא של הלקוחות ולא של נוהלי רישום ProtonVPN, היא אינה יכולה להבטיח שספק ה- VPN יעשה בדיוק מה שהוא אומר במדיניות הפרטיות שלו..
תמיד מומלץ למשתמשים לחקור את תוכן הביקורת, מכיוון שלעתים קרובות הם חוקרים במסגרת מוגדרת מראש, אשר עשויים לא לכלול אפליקציות או מדיניות מסוימות..
יהיה צורך בבדיקה נוספת בצד השרת כדי להוכיח כי ProtonVPN תואם את מדיניות הרישום שלה.
ביקורת האפליקציות לאנדרואיד ווינדוס בוצעה ברבעון הראשון של 2023, ושניהם החזירו סיווג סיכון ראשוני של המדיום מבקר.
SEC Consult זיהה ארבע פגיעויות בסיכון נמוך ופגיעות אחת בסיכון גבוה באפליקציית Android, כמו גם שתי פגיעויות בסיכון נמוך ושתי פגיעויות בסיכון בינוני באפליקציית שולחן העבודה..
באפליקציית אנדרואיד תוקנו כל נקודות התורפה מלבד שתי סיכון נמוך, תחת הכותרת “הודעות באגים מופעלות” ו”קודדודים מוקפדים / קידוד נתונים לא מושלם. “
הפגיעות הראשונה באנדרואיד שהתקבלה על ידי Proton Technologies הייתה נוכחות של הודעות באגים המכילות נתונים רגישים – במיוחד אישורי פרוטוקול OpenVPN ו- IKEv2..
Proton Technologies רואה במידע זה סיכון נמוך, מכיוון שהוא “נועד להיות נפרד מתעודות החשבון של המשתמש.” יתר על כן, הוא קובע כי יומן הבאגים הזה אינו בשליטת האפליקציה עצמה..
הפגיעות האחרת המקובלת על ידי Proton Technologies באנדרואיד היא נוכחות תעודות בינאריות של האפליקציה, אשר יחד עם מזהה מכשיר ייחודי, ניתן להשתמש בהן כדי לפענח נתונים מהאפליקציה. Proton Technologies AG הגיב על כך באומרו כי אישורים אלה משמשים לשליחת דוחות חריגים למערכת הרישום שלה והוסיפו כי “נקודת הקצה של ה- API לדיווח מוגבלת נדירה [sic].”
ב- Windows שתי הפגיעות בסיכון נמוך היו קבועות ושתי הפגיעות בסיכון בינוני התקבלו.
פגיעות אחת שהתקבלה אך לא תוקנה על ידי Proton Technologies הייתה האחסון המתמשך של אסימוני הפעלה של טקסט רגיל ותעודות VPN. ספק ה- VPN הגיב וקבע כי “אספני האשפה של .NET ו- GO אינם בשליטתנו ואין דרך להכריח אותם באופן דטרמיניסטי לפנות זיכרון שאינו בשימוש.”
אסימוני ההפעלה ותעודות ה- VPN המאוחסנים בתרחיש זה אינם מבוטלים מייד עם יציאתם.
SEC Consult זיהה גם פגיעות אפשרית בקידוד הקשיח של תעודות באפליקציה. Proton Technologies קיבלה את פגיעות זו אך לא פתרה, וקבעה כי האישורים הם OpenVPN TLS-autor, שכבר מופצים באופן גלוי בקבצי config..
פרוטון טכנולוגיות הבהירה: “זה לא משמש לאימות של שרת ללקוח או להפך – ישנן מערכות נפרדות שמטפלות בפונקציות הללו. לפיכך, מידע זה אינו מסמיך את התוקף להתחזות לשרת / משתמש או MITM [איש במתקפה אמצעית] קשר. “
מערכת ביקורת שנייה בוצעה באוגוסט 2023, הפעם עבור אפליקציות iOS ו- MacOS.
בביקורת MacOS לא נמצאו נקודות תורפה ובביקורת iOS לא נמצאו רק שתי פגיעויות בסיכון נמוך. אחת מהפגיעויות הללו תוקנה והשנייה, “הפעלת אפליקציות להתקנים ניידים על מכשיר משוריין או שורש” התקבלה.
בהערה על ההחלטה שלא לטפל בפגיעות זו בסיכון נמוך, פרוטון טכנולוגיות אמרה: “לא נתקן מכיוון שאין פיתרון אחד לגילוי מהימן אם התקן iOS נפרץ או הושרש. יתר על כן, אנו מצפים מהמשתמשים להיות אחראים לביטחון המכשיר שלהם לאחר שבור או יושרו. “