Протон Тецхнологиес, која развија безбедну услугу е-поште и ВПН, о отварању ПротонВПН клијентски програми за , , и (конзола отвори у почетку). Код је отворен под ГПЛв3 лиценцом. Истовремено, објављени су извештаји о независној ревизији ових апликација. Током ревизије нису пронађени проблеми који би могли довести до дешифровања ВПН саобраћаја или ескалације привилегија.
Код је отвореног кода као део иницијативе за транспарентност пројекта тако да независни стручњаци могу да провере да ли код испуњава наведене спецификације и да провере да ли се безбедносне ревизије спроводе исправно. У оквиру сарадње са Мозилом, која плаћена ВПН услуга, Мозилла инжењери су такође имали приступ другим ПротонВПН технологијама за ревизију. Напомиње се да ће следећи корак бити пренос других ПротонВПН апликација у отворену категорију.
Претходни инциденти са ПротонВПН-ом укључују: у пријави за Windows, што је омогућавало кориснику да подигне своје системске привилегије на администраторски ниво (рањивост је узрокована нетачном интеракцијом између непривилегованог ГУИ клијента и системске услуге).
Ревизија кода апликације је завршена пре неколико дана за Windows открио је присуство (два средња и два мања): чување токена сесије и акредитива у меморији процеса, кључева ВПН сервера унапред дефинисаних у конфигурационој датотеци (не користе се за аутентификацију), омогућавање информација за отклањање грешака и прихватање конекција на свим мрежним интерфејсима.
У верзији за нису идентификоване рањивости. Два мања проблема пронађена у верзији за иОС (Везивање SSL сертификата се не користи и рад на уређајима са џејлбрејком није блокиран). У верзији за Android четири мања проблема (омогућавање порука за отклањање грешака, не блокирање прављења резервних копија помоћу АДБ услужног програма, шифровање подешавања унапред дефинисаним кључем, неприлагање ССЛ сертификата) и једна умерена рањивост (непотпуни прекид сесије, омогућавање поновног коришћења токена сесије).
Подсетимо, Протон Тецхнологиес је основало неколико истраживача из ЦЕРН-а (Европска организација за нуклеарна истраживања) и регистрована је у Швајцарској, која има строге законе о приватности који не дозвољавају обавештајним агенцијама да контролишу информације. Пројекат ПротонВПН обезбеђује висок ниво безбедности комуникационих канала (стрим је шифрован коришћењем АЕС-256, размена кључева се врши на основу 2048-битних РСА кључева и ХМАЦ, СХА-256 се користи за аутентификацију, постоји заштита од напада заснована на о корелацији токова података), одбија да води евиденцију и фокусиран је не на остваривање профита, већ на побољшање безбедности и приватности на вебу (пројекат финансира ФОНГИТ фонд, уз подршку Европске комисије).
Извор: опеннет.ру
