La 21 ianuarie 2020, furnizorul VPN ProtonVPN a anunțat că a comandat un audit de securitate independent, efectuat de firma de consultanță de securitate SEC Consult.

ProtonVPN, deținută de compania mamă Proton Technologies AG, a făcut publică o versiune prescurtată a acestui audit (care conține toate vulnerabilitățile potențiale). Oricine poate vizualiza rezultatele pentru Android, iOS, MacOS și Windows pe site-ul său web.

Fiecare raport de audit examinează vulnerabilitățile potențiale ale securității unei aplicații atât înainte cât și după investigația SEC Consult.

Pe toate platformele, consultarea a constatat doar vulnerabilități cu risc scăzut și mediu. În raportul SEC Consult confirmă că toate aceste vulnerabilități au fost fie rezolvate, fie acceptate de Proton Technologies.

În cazurile în care vulnerabilitățile au fost acceptate și nu soluționate, Proton Technologies a furnizat comentarii în raport explicând această decizie.

Auditul a fost efectuat pe o bază „calendar”. Aceasta înseamnă că SEC Consult a căutat vulnerabilități în aplicație pentru o perioadă determinată de timp - în acest caz, o perioadă de șase zile pentru fiecare aplicație.

Deși această abordare înseamnă că auditul de securitate nu poate fi considerat cuprinzător, ProtonVPN a făcut în plus toate cele patru aplicații open-source, permițând oricărui profesionist în securitate sau utilizatori să inspecteze codul pentru vulnerabilități..

ProtonVPN susține că este „primul furnizor VPN care își eliberează codul sursă pe toate platformele și efectuează un audit de securitate independent.”

NordVPN, ExpressVPN, Surfshark și Tunnelbear sunt printre ceilalți furnizori VPN pentru a efectua audituri de securitate a unora sau a tuturor aplicațiilor lor.

Există și alte VPN-uri, cum ar fi AirVPN și Mullvad, care dezvoltă aplicații complet open-source.

Mullvad a efectuat, de asemenea, un audit de securitate - deși nu pe iOS, pentru care nu are o aplicație.

ProtonVPN poate să nu fie singurul VPN care a făcut audituri independente și a făcut ca toate aplicațiile sale să fie open-source, dar acum conduce câmpul.

Vorbind despre anunț, editorul Top10VPN.com Callum Tennent a declarat: „Suntem încântați să vedem pașii pe care ProtonVPN a făcut-o. Transparența și încrederea sunt atât de importante pentru o VPN, iar combinația dintre un audit extern independent și un produs open-source reprezintă o reasigurare uriașă.

„Sperăm sincer că mai mulți VPN să ia o abordare similară. Auditele au devenit din ce în ce mai frecvente și este cert că numărul furnizorilor de VPN care le urmează va crește în 2020 - dar programarea open-source este încă ciudat.

„Cu ochii hackerilor și a buff-urilor de confidențialitate ale lumii, acum fixate în totalitate pe codul sursă al ProtonVPN, nu avem nicio îndoială că va fi un produs mai sigur și mai sigur ca niciodată.”

Utilizarea software-ului open source și permițarea părților terțe de încredere să auditeze atât software-ul, cât și procesele sunt două metode furnizorii VPN au încercat să folosească pentru a crea încredere cu utilizatorii lor.

Într-o declarație privind auditul, Andy Yen, CEO al ProtonVPN, a declarat: „Serviciile VPN pot accesa tehnic unele date ale utilizatorilor foarte sensibile, motiv pentru care utilizatorii ar trebui să aleagă servicii cu un palmares pentru transparență și securitate..

Fotografia lui Co-fondator și CEO al ProtonVPN, Andy Yen

Co-fondator și CEO al ProtonVPN, Andy Yen

„Această încredere trebuie câștigată și, prin publicarea codului nostru, sperăm să ne demonstrăm angajamentul de a merge mereu mai sus și dincolo atunci când vine vorba de securitate și de a pune utilizatorii pe primul loc.”

Verificând securitatea aplicațiilor sale, ProtonVPN a contribuit la asigurarea utilizatorilor că serviciul său este securizat. Dar, întrucât acest audit este al clienților și nu practicile de logare ale ProtonVPN, nu poate garanta că furnizorul VPN face exact ceea ce spune în politica sa de confidențialitate.

Este întotdeauna recomandabil ca utilizatorii să investigheze conținutul unui audit, deoarece investiga adesea într-un domeniu predefinit, care poate să nu includă anumite aplicații sau politici..

Un audit suplimentar pe partea de server ar fi necesar pentru a demonstra că ProtonVPN este conform cu politica sa de logare.

Auditurile pentru aplicații Android și Windows au fost efectuate în primul trimestru al anului 2019 și ambele au returnat o primă clasificare a riscurilor de mediu de la auditor.

SEC Consult a identificat patru vulnerabilități cu risc scăzut și o vulnerabilitate cu risc ridicat în aplicația Android, precum și două vulnerabilități cu risc scăzut și două vulnerabilități cu risc mediu în aplicația desktop.

În aplicația Android, toate vulnerabilitățile cu risc scăzut au fost rezolvate, intitulate „Mesaje de depanare activate” și „Credențe cu coduri grele / Criptare imperfectă a datelor”.

Prima vulnerabilitate Android acceptată de Proton Technologies a fost prezența mesajelor de depanare care conțin date potențial sensibile - în special datele de identificare ale protocolului OpenVPN și IKEv2.

Proton Technologies consideră că aceste informații sunt cu risc redus, deoarece sunt „proiectate pentru a fi separate de datele de autentificare ale contului unui utilizator”. Mai mult, acesta afirmă că acest jurnal de depanare nu se află sub controlul aplicației în sine..

Cealaltă vulnerabilitate acceptată de Proton Technologies pe Android este prezența credențelor în binarul aplicației care, împreună cu un cod unic de dispozitiv, ar putea fi folosite pentru a decripta datele din aplicație. Proton Technologies AG a răspuns la acest lucru spunând că aceste credențiale sunt utilizate pentru a trimite rapoarte de excepție în sistemul său de înregistrare, adăugând că „punctul final al API pentru raportare este rar limitat [sic].”

Pe Windows, ambele vulnerabilități cu risc scăzut au fost fixate și ambele vulnerabilități de risc mediu au fost acceptate.

Una dintre vulnerabilitățile acceptate, dar nu fixate de Proton Technologies, a fost stocarea persistentă a jetoanelor de sesiune de text simplu și a certificatelor VPN. Furnizorul VPN a răspuns afirmând că „.NET și colectoarele de gunoi GO sunt în afara controlului nostru și nu există nicio modalitate de a le forța cu determinare să elimine memoria nefolosită.”

Token-urile de sesiune și datele de acreditare VPN stocate în acest scenariu sunt invalidate imediat după deconectare.

SEC Consult a identificat, de asemenea, o potențială vulnerabilitate în codarea hard-card-urilor în aplicație. Proton Technologies a acceptat, dar nu a rezolvat această vulnerabilitate, precizând că datele de acreditare sunt OpenVPN TLS-auth chei, care sunt deja distribuite deschis în fișierele de configurare.

Proton Technologies a clarificat: „Nu este folosit pentru autentificarea nici unui server către client, sau invers - există sisteme separate pentru a gestiona aceste funcții. Astfel, existența acestor informații nu împuternicește un atacator să interpreteze un server / utilizator sau MITM [Omul din atacul mijlociu] o conexiune. "

Un al doilea set de audituri a fost realizat în august 2019, de această dată pentru aplicațiile iOS și MacOS.

Auditul MacOS nu a găsit vulnerabilități, iar auditul iOS a constatat doar două vulnerabilități cu risc scăzut. Una dintre aceste vulnerabilități a fost remediată, iar cealaltă, „Aplicația mobilă rulează pe dispozitivul Jailbroken sau înrădăcinată” a fost acceptată.

Într-o notă cu privire la decizia de a nu aborda această vulnerabilitate cu risc scăzut, Proton Technologies a spus: „Nu vom rezolva, deoarece nu există o soluție de a detecta în mod fiabil dacă un dispozitiv iOS a fost închis sau înrădăcinat. Mai mult, ne așteptăm ca utilizatorii să fie responsabili pentru securitatea dispozitivului lor odată prăbușiți sau înrădăcinați. "

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me