در 21 ژانویه سال 2020 ، ارائه دهنده VPN ProtonVPN اعلام کرد که یک ممیزی امنیتی مستقل را که توسط شرکت مشاوره امنیتی SEC Consult انجام شده ، مأمور کرده است.
ProtonVPN ، متعلق به شرکت مادر Proton Technologies AG ، نسخه خلاصه ای از این حسابرسی را تهیه کرده است. (شامل همه آسیب پذیری های احتمالی) عمومی. هر کسی می تواند نتایج مربوط به Android ، iOS ، MacOS و Windows را در وب سایت خود مشاهده کند.
هر گزارش ممیزی آسیب پذیری های امنیتی احتمالی یک برنامه را قبل و بعد از بررسی SEC مشاور بررسی می کند.
در تمام سیستم عامل ها ، مشاوره فقط یافت آسیب پذیری کم خطر و متوسط. در گزارش SEC Consult تأیید می کند که همه این آسیب پذیری ها توسط Proton Technologies برطرف شده است یا پذیرفته شده اند.
در مواردی که آسیب پذیری ها به جای رفع پذیرش پذیرفته شده اند ، پروتون فن آوری ها در گزارش خود توضیحی در مورد این تصمیم ارائه داده اند.
حسابرسی بر اساس "صندوق زمانی" انجام شد. این بدان معنی است که SEC Consult برای مدت زمان مشخصی به دنبال آسیب پذیری ها در برنامه بود – در این حالت مدت زمان شش روز برای هر برنامه.
اگرچه این رویکرد بدان معنی است که ممیزی امنیتی نمی تواند جامع تلقی شود ، پروتونVPN علاوه بر این همه را ساخته است. چهار برنامه منبع باز ، اجازه می دهد تا هر حرفه ای امنیتی یا کاربران بتوانند کد مربوط به آسیب پذیری ها را بررسی کنند.
ProtonVPN ادعا می کند "اولین ارائه دهنده VPN است که کد منبع خود را در تمام سیستم عامل ها منتشر کرده و یک ممیزی امنیتی مستقل را انجام می دهد."
NordVPN ، ExpressVPN ، Surfshark و Tunnelbear از دیگر ارائه دهندگان VPN برای انجام ممیزی های امنیتی برخی یا تمام برنامه های آنها هستند.
همچنین VPN های دیگری مانند AirVPN و Mulvad وجود دارد که برنامه های کاملاً منبع باز را توسعه می دهند. [19659002] مولود همچنین ممیزی امنیتی را انجام داده است – اگرچه در iOS نیست ، که برنامه ای برای آن در نظر گرفته نشده است.
ممکن است ProtonVPN تنها VPN نباشد که تحت آزمایش های مستقل قرار گرفته و تمام برنامه های خود را ساخته است. منبع باز ، اما اکنون درحال پیشبرد این زمینه است.
سردبیر Top10VPN.com Callum Tennent با صحبت در این اعلامیه گفت: "ما خوشحال می شویم مراحلی را که ProtonVPN برداشته است خوشحالیم. شفافیت و اعتماد برای یک VPN بسیار مهم است ، و ترکیبی از یک ممیزی خارجی مستقل و یک محصول منبع باز یک اطمینان بسیار زیادی است.
"ما صمیمانه امیدواریم که بیشتر VPN ها نیز یکسان باشند. ممیزی ها روز به روز متداول تر شده اند ، و یقین است که تعداد ارائه دهندگان VPN که تحت آنها قرار دارند ، در سال 2020 افزایش می یابد – اما برنامه نویسی متن باز هنوز عجیب و غریب است غیر معمول.
"با توجه به هکرها و حواشی حریم خصوصی اکنون جهان کاملاً بر روی کد منبع ProtonVPN تثبیت شده است ، ما تردیدی نداریم که این محصول محصولی ایمن تر و مطمئن تر از همیشه باشد. "
استفاده از نرم افزار منبع باز و اجازه دادن به اشخاص ثالث قابل اعتماد برای ممیزی نرم افزار و فرآیندهای خود ، دو روش VPN است. ارائه دهندگان سعی کرده اند برای ایجاد اعتماد با کاربران خود از آنها استفاده کنند.
اندی ین ، مدیرعامل ProtonVPN در بیانیه ای در مورد ممیزی گفت: "خدمات VPN می توانند از لحاظ فنی به برخی از داده های کاربر حساس دسترسی پیدا کنند ، به همین دلیل کاربران باید سرویس ها را با یک مسیر انتخاب کنند. رکورد شفافیت و امنیت.
بنیانگذار و مدیر عامل ProtonVPN ، اندی ین
"این اعتماد باید به دست بیاورد و با انتشار کد ما امیدواریم به تعهد خود را نسبت به همیشه بالاتر و فراتر از امنیت در هنگام امنیت و اولویت قرار دادن کاربران نشان دهیم. "
با ممیزی امنیت برنامه های خود ، ProtonVPN به اطمینان کاربران اطمینان داده است که خدمات آن بی خطر است. اما ، از آنجا که این ممیزی مربوط به مشتری ها است و نه شیوه های ورود به سیستم ProtonVPN ، نمی تواند تضمین کند که ارائه دهنده VPN دقیقاً آنچه را که می گوید در خط مشی رازداری خود انجام می دهد.
همیشه توصیه می شود کاربران از محتویات یک ممیزی تحقیق کنند. آنها غالباً در محدوده از پیش تعریف شده تحقیق می كنند ، كه ممكن است برنامه ها یا خط مشی خاصی را شامل نشود.
برای اثبات اینكه ProtonVPN با خط مشی ورود به سیستم مطابقت دارد ، یك ممیزی سمت سرور لازم است.
ممیزی برنامه Android و Windows انجام شد. در Q1 2019 ، و هر دو طبقه بندی ریسک متوسط از حسابرس را بازگردانده اند.
SEC Consult چهار آسیب پذیری کم خطر و یک آسیب پذیری ریسک بالا را در برنامه اندرویدی ، و همچنین دو آسیب پذیری کم خطر و دو آسیب پذیری ریسک متوسط شناسایی کرد. در برنامه دسک تاپ.
در برنامه Android ، دو آسیب پذیری کم خطر به جز "پیام های اشکال زدایی فعال شده" و "رمزهای اعتبار رمزگذاری شده / رمزگذاری اطلاعات ناقص" برطرف شدند.
اولین آسیب پذیری Android که توسط Proton Technologies پذیرفته شد ، وجود پیام های اشکال زدایی حاوی داده های حساس بالقوه – به طور خاص اعتبار پروتکل OpenVPN و IKEv2 بود.
Proton Technologies این اطلاعات را کم خطر می داند ، زیرا طراحی شده است که از یک سری جدا شود. اعتبار حساب کاربر. "علاوه بر این ، این گزارش اشکال زدایی فراتر از کنترل خود برنامه است.
یکی دیگر از آسیب پذیری های پذیرفته شده توسط Proton Technologies در اندروید ، وجود اعتبار در دودویی برنامه است که به همراه شناسه دستگاه منحصر به فرد ، می تواند برای رمزگشایی داده ها از برنامه استفاده شود. Proton technology AG در پاسخ به این سخنان با بیان اینکه این اعتبارنامه ها برای ارسال گزارش های استثنائی به سیستم ورود به سیستم استفاده می شود ، افزود: "نقطه پایانی API برای گزارش به ندرت محدود است [sic]."
در ویندوز ، هر دو آسیب پذیری کم خطر برطرف شدند. و هر دو آسیب پذیری در معرض خطر متوسط پذیرفته شده اند.
یکی از آسیب پذیری های پذیرفته شده اما توسط پروتون فن آوری ها برطرف نشده ، ذخیره سازی طولانی نشانه های جلسات متن ساده و اعتبار VPN بود. ارائه دهنده VPN با بیان اینکه "جمع آوری زباله های دات نت و GO خارج از کنترل ما هستند و به هیچ وجه امکان مجبور کردن آنها به پاک کردن حافظه غیرقابل استفاده وجود ندارد ، پاسخ داد."
نشانه های جلسه و اعتبار VPN ذخیره شده در این سناریو بلافاصله باطل می شوند.
SEC Consult همچنین یک آسیب پذیری بالقوه در گالینگور اعتبارنامه های برنامه را شناسایی کرد. Proton Technologies این آسیب پذیری را پذیرفت ، اما این مسئله را برطرف نکرد ، با بیان اینکه اعتبارنامه ها کلیدهای OpenVPN TLS-auth هستند ، که قبلاً به صورت آشکار در پرونده های پیکربندی توزیع شده اند.
Proton Technologies توضیح داد: "برای احراز هویت هیچ یک از سرورها به مشتری استفاده نمی شود. یا برعکس – سیستمهای جداگانه ای برای انجام این کارها وجود دارد. بنابراین ، در اختیار داشتن این اطلاعات ، مهاجمی را قادر نمی کند تا از سرور / کاربر یا MITM [Man in the Middle attack] جعبه اتصال کنند. ”
مجموعه دوم ممیزی ها در آگوست سال 2019 انجام شد ، این بار برای برنامه های iOS و MacOS. [19659002] حسابرسی MacOS هیچ آسیب پذیری پیدا نکرد و ممیزی iOS فقط دو آسیب پذیری کم خطر را در بر داشت. یکی از این آسیب پذیری ها برطرف شد و دیگری ، "اجرای برنامه موبایل روی جیل بریک یا دستگاه ریشه دار" پذیرفته شد.
در یادداشتی در مورد تصمیم عدم رسیدگی به این آسیب پذیری کم خطر ، پروتون فن آوری ها گفت: "ما اصلاح نخواهیم کرد هیچ راه حلی وجود ندارد که بتواند اطمینان حاصل کند که آیا دستگاه iOS دارای فرار از زندان بوده یا روت شده است. علاوه بر این ، ما انتظار داریم که کاربران یک بار شکسته و یا ریشه زده باشند ، امنیت دستگاه خود را بر عهده بگیرند. "
