Proton Technologies, anu ngembangkeun layanan email anu aman sareng VPN, ngeunaan bubuka Program klien ProtonVPN pikeun , , и (kantilever mimitina dibuka). Kodeu dibuka dina lisénsi GPLv3. Dina waktos anu sami, laporan ngeunaan pamariksaan bebas tina aplikasi ieu diterbitkeun. Henteu aya masalah anu kapendak salami pamariksaan anu tiasa nyababkeun dekripsi lalu lintas VPN atanapi naékna hak istimewa.
Kodeu sumber terbuka salaku bagian tina inisiatif transparansi proyék supados para ahli mandiri tiasa pariksa yén kode éta nyumponan spésifikasi anu dinyatakeun sareng pariksa yén pamariksaan kaamanan dilaksanakeun kalayan leres. Salaku bagian tina gawé bareng Mozilla, nu jasa VPN mayar, insinyur Mozilla ogé miboga aksés ka téhnologi ProtonVPN séjén pikeun auditing. Perhatoskeun yén léngkah salajengna nyaéta mindahkeun aplikasi ProtonVPN anu sanés ka kategori kabuka.
Insiden saméméhna sareng ProtonVPN kalebet: dina aplikasi pikeun Windows, anu ngamungkinkeun pangguna pikeun ningkatkeun hak istimewa sistemna ka tingkat administrator (kerentanan ieu disababkeun ku interaksi anu salah antara klien GUI anu teu gaduh hak istimewa sareng layanan sistem).
Audit kode aplikasi réngsé sababaraha dinten ka pengker kanggo Windows némbongkeun ayana (dua sedeng jeung dua minor): nyimpen tokens sési jeung Kapercayaan dina mémori prosés, VPN konci server tos siap dina file konfigurasi (teu dipaké pikeun auténtikasi), sangkan informasi debugging sarta narima sambungan dina sakabéh interfaces jaringan.
Dina versi pikeun euweuh vulnerabilities dicirikeun. Dua masalah minor kapanggih dina versi ios (Pangiket sertipikat SSL henteu dianggo sareng operasi dina alat anu di-jailbreak henteu diblokir). Dina vérsi pikeun Android opat masalah leutik (ngaktifkeun pesen debug, henteu ngablokir cadangan nganggo utilitas ADB, énkripsi setélan ku konci anu tos siap, henteu ngalampirkeun sertipikat SSL) sareng hiji kerentanan sedeng (terminasi sési henteu lengkep, ngamungkinkeun token sési dianggo deui).
Hayu urang ngingetan yén Proton Technologies diadegkeun ku sababaraha peneliti ti CERN (Organisasi Éropa pikeun Panaliti Nuklir) sareng didaptarkeun di Swiss, anu ngagaduhan undang-undang privasi anu ketat anu henteu ngijinkeun agénsi intelijen ngadalikeun inpormasi. Proyék ProtonVPN nyayogikeun tingkat kaamanan saluran komunikasi anu luhur (aliran énkripsi nganggo AES-256, bursa konci dilaksanakeun dumasar kana konci RSA 2048-bit sareng HMAC, SHA-256 dianggo pikeun auténtikasi, aya panyalindungan ngalawan serangan dumasar on korelasi aliran data), nampik tetep log sarta museurkeun teu on nyieun untung, tapi dina ngaronjatkeun kaamanan sarta privasi dina Web (proyék ieu dibiayaan ku dana FONGIT, dirojong ku Komisi Éropa).
sumber: opennet.ru
