ExpressVPN se sometió a auditorías independientes de sus aplicaciones iOS y Android

Publicado el: 15 de diciembre de 2022

Proveedor popular de VPN ExpressVPN anunció el martes que la firma de ciberseguridad Cure53 realizó evaluaciones separadas de sus aplicaciones móviles Android e iOS a través de pruebas de penetración de caja blanca y auditorías de código fuente. La auditoría de su aplicación para Android se llevó a cabo en agosto, mientras que el auditoría de iOS Ocurrió desde finales de agosto hasta principios de septiembre.

Las auditorías de Cure53 también incluyeron investigaciones sobre el administrador de contraseñas integrado de ExpressVPN para sus aplicaciones móviles, Claves ExpressVPN, junto con su integración y dependencias del protocolo VPN.

Estas evaluaciones de seguridad independientes son cruciales para proporcionar información imparcial sobre las afirmaciones de seguridad de ExpressVPN. Además, ofrecen información sobre qué tan bien la VPN puede defenderse contra los ataques cibernéticos de actores malintencionados y aplicaciones de terceros.

“Reconocemos la creciente necesidad mundial de protección de seguridad y privacidad digital, por lo que me complace compartir que ambas aplicaciones móviles de ExpressVPN ahora han sido auditadas por expertos independientes en seguridad de Cure53. Este anuncio es aún más importante ya que se produce solo unas semanas después de las auditorías completas de nuestras tres aplicaciones de escritorio, así como de la auditoría de KPMG de nuestra política de cero registros”, dijo Brian Schirmacher, gerente de pruebas de penetración de ExpressVPN. “Las auditorías realizadas por prestigiosas firmas de ciberseguridad como Cure53 son una de nuestras muchas iniciativas de confianza y transparencia. Queremos seguir poniendo el listón alto para la industria”.

Durante su auditoría de la aplicación de Android, Cure53 descubrió tres vulnerabilidades de seguridad, clasificadas como de gravedad "media" o "baja". La firma de seguridad cibernética también hizo diez recomendaciones generales de endurecimiento para problemas identificados como "Varios: informativos".

“Este resultado proporciona una amplia evidencia de que el equipo de ExpressVPN no solo es muy consciente de los muchos problemas que las aplicaciones VPN modernas tienden a enfrentar, sino que también puede contrarrestarlos de manera efectiva”, dijo Cure53 en su informe. “En términos generales, a pesar del rendimiento relativamente alto de hallazgos, la impresión general obtenida por el equipo de prueba después de este compromiso es adecuadamente positiva. Esto se debe principalmente al hecho de que la gran mayoría de los hallazgos son variaciones de configuraciones erróneas comunes que a menudo están presentes en las aplicaciones de Android”.

“Este punto de vista positivo también se ve corroborado por el hecho de que ninguna de las vulnerabilidades antes mencionadas se puede abusar directamente para realizar ataques exitosos”, agregó la firma.

Para la aplicación iOS, la auditoría de Cure53 encontró cuatro vulnerabilidades, clasificadas como de gravedad "media" o "baja". Además, la firma de ciberseguridad hizo cinco recomendaciones de endurecimiento con menor potencial de explotación.

“El hecho de que a todos los hallazgos se les haya asignado una calificación de gravedad de Media o inferior indica una falta total de superficies de ataque significativas y un potencial de amenaza dañino”, dijo Cure53. “Con todo, el equipo de desarrollo merece todos los elogios por sus debidos esfuerzos diligentes para minimizar cualquier amenaza potencial para la aplicación iOS, con solo ajustes menores necesarios para elevar aún más la plataforma a un estándar ejemplar desde una perspectiva de seguridad”.

Desde entonces, ExpressVPN ha abordado todas las vulnerabilidades enumeradas en las auditorías de sus aplicaciones de Android e iOS, y su equipo de seguridad interno solucionó la mayoría de los problemas.