Proton Technologies, som utvikler en sikker e-posttjeneste og VPN, om åpningen ProtonVPN-klientprogrammer for , , и (utkraget åpner først). Koden er åpen under GPLv3-lisensen. Samtidig ble det publisert rapporter om en uavhengig revisjon av disse søknadene. Det ble ikke funnet noen problemer under tilsynet som kunne føre til dekryptering av VPN-trafikk eller eskalering av privilegier.
Koden er åpen kildekode som en del av et initiativ for prosjekttransparens, slik at uavhengige eksperter kan verifisere at koden oppfyller de angitte spesifikasjonene og verifisere at sikkerhetsrevisjoner blir utført på riktig måte. Som en del av samarbeidet med Mozilla, som en betalt VPN-tjeneste, Mozilla-ingeniører hadde også tilgang til andre ProtonVPN-teknologier for revisjonsformål. Det bemerkes at neste trinn vil være overføring av andre ProtonVPN-applikasjoner til den åpne kategorien.
Tidligere hendelser med ProtonVPN inkluderer: i søknaden om Windows, som tillot en bruker å heve systemrettighetene sine til administratornivå (sårbarheten ble forårsaket av feil samhandling mellom en ikke-privilegert GUI-klient og en systemtjeneste).
Applikasjonskoderevisjonen ble fullført for noen dager siden for Windows avslørte tilstedeværelsen (to mellomstore og to mindre): lagring av økttokens og legitimasjon i prosessminne, VPN-servernøkler forhåndsdefinert i konfigurasjonsfilen (brukes ikke for autentisering), muliggjør feilsøkingsinformasjon og aksepterer tilkoblinger på alle nettverksgrensesnitt.
I versjonen for ingen sårbarheter identifisert. To mindre problemer funnet i iOS-versjonen (SSL-sertifikatbinding brukes ikke, og drift på jailbroken enheter blokkeres ikke). I versjonen for Android fire mindre problemer (aktivering av feilsøkingsmeldinger, ikke blokkering av sikkerhetskopier ved hjelp av ADB-verktøyet, kryptering av innstillinger med en forhåndsdefinert nøkkel, ikke vedlegg et SSL-sertifikat) og en moderat sårbarhet (ufullstendig øktavslutning, tillater gjenbruk av økttokens).
La oss minne om at Proton Technologies ble grunnlagt av flere forskere fra CERN (European Organization for Nuclear Research) og er registrert i Sveits, som har strenge personvernlover som ikke tillater etterretningsbyråer å kontrollere informasjon. ProtonVPN-prosjektet gir et høyt nivå av kommunikasjonskanalsikkerhet (strømmen er kryptert med AES-256, nøkkelutveksling utføres basert på 2048-bits RSA-nøkler og HMAC, SHA-256 brukes for autentisering, det er beskyttelse mot angrep basert på korrelasjon av datastrømmer), nekter å føre logger og er ikke fokusert på å tjene penger, men på å forbedre sikkerhet og personvern på nettet (prosjektet er finansiert av FONGIT-fondet, støttet av EU-kommisjonen).
Kilde: opennet.ru
