Proton Technologies, que desenvolupa un servei de correu electrònic segur i VPN, sobre l'obertura Programes client de ProtonVPN per , , и (en voladís obert inicialment). El codi està obert sota la llicència GPLv3. Al mateix temps, es van publicar informes sobre una auditoria independent d'aquestes aplicacions. No s'han trobat problemes durant l'auditoria que puguin provocar el desxifrat del trànsit VPN o l'escalada de privilegis.
El codi és de codi obert com a part d'una iniciativa de transparència del projecte perquè els experts independents puguin verificar que el codi compleix les especificacions establertes i verificar que les auditories de seguretat s'estan duent a terme correctament. Com a part de la cooperació amb Mozilla, que un servei VPN de pagament, els enginyers de Mozilla també tenien accés a altres tecnologies ProtonVPN amb finalitats d'auditoria. Cal assenyalar que el següent pas serà la transferència d'altres aplicacions de ProtonVPN a la categoria oberta.
Els incidents anteriors amb ProtonVPN inclouen: en la sol·licitud de Windows, que permetia a un usuari elevar els seus privilegis de sistema al nivell d'administrador (la vulnerabilitat era causada per una interacció incorrecta entre un client GUI sense privilegis i un servei del sistema).
L'auditoria del codi de l'aplicació es va completar fa uns dies per a Windows va revelar la presència (dos mitjans i dos menors): emmagatzematge de fitxes de sessió i credencials a la memòria del procés, claus del servidor VPN predefinides al fitxer de configuració (no s'utilitzen per a l'autenticació), habilitant la informació de depuració i acceptant connexions a totes les interfícies de xarxa.
En la versió per cap vulnerabilitat identificada. S'han trobat dos problemes menors a la versió d'iOS (No s'utilitza l'enllaç de certificats SSL i no es bloqueja el funcionament en dispositius amb jailbreak). A la versió per a Android quatre problemes menors (habilitar missatges de depuració, no bloquejar les còpies de seguretat mitjançant la utilitat ADB, xifrar la configuració amb una clau predefinida, no adjuntar un certificat SSL) i una vulnerabilitat moderada (finalització de la sessió incompleta, que permet la reutilització de fitxes de sessió).
Recordem que Proton Technologies va ser fundada per diversos investigadors del CERN (Organització Europea per a la Recerca Nuclear) i està registrada a Suïssa, que té estrictes lleis de privadesa que no permeten que les agències d'intel·ligència controlin la informació. El projecte ProtonVPN proporciona un alt nivell de seguretat del canal de comunicació (el flux es xifra amb AES-256, l'intercanvi de claus es realitza a partir de claus RSA de 2048 bits i HMAC, SHA-256 s'utilitza per a l'autenticació, hi ha protecció contra atacs basats en sobre correlació de fluxos de dades), es nega a mantenir els registres i es centra no a obtenir beneficis, sinó a millorar la seguretat i la privadesa a la web (el projecte està finançat pel fons FONGIT, amb el suport de la Comissió Europea).
Font: opennet.ru
