Proton Technologies, yang mengembangkan layanan email dan VPN yang aman, tentang pembukaan Program klien ProtonVPN untuk , , и (kantilever terbuka pada awalnya). Kode ini terbuka di bawah lisensi GPLv3. Pada saat yang sama, laporan tentang audit independen atas aplikasi ini diterbitkan. Tidak ada masalah yang ditemukan selama audit yang dapat mengakibatkan dekripsi lalu lintas VPN atau peningkatan hak istimewa.
Kode ini bersumber terbuka sebagai bagian dari inisiatif transparansi proyek sehingga para ahli independen dapat memverifikasi bahwa kode tersebut memenuhi spesifikasi yang disebutkan dan memverifikasi bahwa audit keamanan dilakukan dengan benar. Sebagai bagian dari kerjasama dengan Mozilla, yang Sebagai layanan VPN berbayar, teknisi Mozilla juga memiliki akses ke teknologi ProtonVPN lainnya untuk melakukan audit. Perlu dicatat, langkah selanjutnya adalah pemindahan aplikasi ProtonVPN lainnya ke kategori terbuka.
Insiden sebelumnya dengan ProtonVPN meliputi: dalam aplikasi untuk Windows, yang memungkinkan pengguna untuk meningkatkan hak akses sistem mereka ke tingkat administrator (kerentanan tersebut disebabkan oleh interaksi yang salah antara klien GUI yang tidak memiliki hak akses istimewa dan layanan sistem).
Audit kode aplikasi telah selesai beberapa hari yang lalu untuk Windows mengungkapkan kehadiran (dua sedang dan dua kecil): menyimpan token sesi dan kredensial dalam memori proses, kunci server VPN yang telah ditentukan sebelumnya dalam file konfigurasi (tidak digunakan untuk otentikasi), mengaktifkan informasi debug dan menerima koneksi di semua antarmuka jaringan.
Dalam versi untuk tidak ada kerentanan yang teridentifikasi. Dua masalah kecil ditemukan di versi iOS (Pengikatan sertifikat SSL tidak digunakan dan pengoperasian pada perangkat yang telah di-jailbreak tidak diblokir). Pada versi untuk Android empat masalah kecil (mengaktifkan pesan debug, tidak memblokir cadangan menggunakan utilitas ADB, mengenkripsi pengaturan dengan kunci yang telah ditentukan sebelumnya, tidak melampirkan sertifikat SSL) dan satu kerentanan sedang (penghentian sesi tidak lengkap, memungkinkan penggunaan kembali token sesi).
Izinkan kami mengingatkan Anda bahwa Proton Technologies didirikan oleh beberapa peneliti dari CERN (Organisasi Eropa untuk Penelitian Nuklir) dan terdaftar di Swiss, yang memiliki undang-undang privasi ketat yang tidak mengizinkan badan intelijen mengontrol informasi. Proyek ProtonVPN memberikan tingkat keamanan yang tinggi untuk saluran komunikasi (aliran dienkripsi menggunakan AES-256, pertukaran kunci dilakukan berdasarkan kunci RSA 2048-bit dan HMAC, SHA-256 digunakan untuk otentikasi, ada perlindungan terhadap serangan berdasarkan korelasi aliran data), menolak untuk menyimpan log dan tidak fokus pada menghasilkan keuntungan, namun pada peningkatan keamanan dan privasi di Web (proyek ini didanai oleh dana FONGIT, didukung oleh Komisi Eropa).
Sumber: opennet.ru
