Proton Technologies, chì sviluppa un serviziu di email sicuru è VPN, circa l'apertura Programmi client ProtonVPN per , , и (a cantilever apertu inizialmente). U codice hè apertu sottu a licenza GPLv3. À u listessu tempu, i rapporti nantu à un auditu indipendente di queste applicazioni sò stati publicati. Nisun prublema hè statu trovu durante l'auditu chì puderia guidà à a decifrazione di u trafficu VPN o l'escalation di privilegi.
U codice hè apertu cum'è parte di una iniziativa di trasparenza di u prughjettu per chì l'esperti indipendenti ponu verificà chì u codice risponde à e specificazioni dichjarate è verificate chì l'auditi di sicurezza sò realizati currettamente. Comu parte di a cooperazione cù Mozilla, chì un serviziu VPN pagatu, l'ingegneri di Mozilla avianu ancu accessu à altre tecnulugia ProtonVPN per scopi di auditing. Hè nutatu chì u prossimu passu serà u trasferimentu di altre applicazioni ProtonVPN à a categuria aperta.
Incidenti precedenti cù ProtonVPN include: in l'applicazione per Windows, chì permetteva à un utilizatore d'elevà i so privilegi di sistema à u livellu d'amministratore (a vulnerabilità era causata da una interazione incorretta trà un cliente GUI senza privilegi è un serviziu di sistema).
L'auditu di u codice di l'applicazione hè statu finitu uni pochi di ghjorni fà per Windows hà rivelatu a presenza (dui medium è dui minori): almacenà tokens di sessione è credenziali in memoria di prucessu, chjavi di u servitore VPN predefiniti in u schedariu di cunfigurazione (micca utilizatu per l'autentificazione), chì permettenu l'infurmazioni di debugging è accettà cunnessione in tutte l'interfacce di rete.
In a versione per nessuna vulnerabilità identificata. Dui prublemi minori truvati in a versione iOS (U ligame di certificatu SSL ùn hè micca utilizatu è l'operazione nantu à i dispusitivi jailbroken ùn hè micca bluccata). In a versione per Android quattru prublemi minori (permette i missaghji di debug, micca bluccà e copie di salvezza cù l'utilità ADB, criptu i paràmetri cù una chjave predefinita, ùn vince micca un certificatu SSL) è una vulnerabilità moderata (terminazione di sessione incompleta, chì permette a reutilizazione di tokens di sessione).
Ricurdemu chì Proton Technologies hè stata fundata da parechji circadori di u CERN (Organizazione Europea per a Ricerca Nucleare) è hè registrata in Svizzera, chì hà strette lege di privacy chì ùn permettenu micca à l'agenzii di intelligenza di cuntrullà l'infurmazioni. U prughjettu ProtonVPN furnisce un altu livellu di sicurità per u canali di cumunicazione (u flussu hè criptatu cù AES-256, u scambiu di chjave hè realizatu basatu annantu à e chjave RSA 2048-bit è HMAC, SHA-256 hè utilizatu per l'autentificazione, ci hè prutezzione contru attacchi basati nantu à a correlazione di flussi di dati), ricusa di mantene i logs è ùn hè micca focu annantu à fà un prufittu, ma à migliurà a sicurità è a privacy in u Web (u prughjettu hè finanziatu da u fondu FONGIT, sustinutu da a Cummissione Europea).
Source: opennet.ru
