ExpressVPN:lle tehtiin riippumattomat tarkastukset iOS- ja Android-sovelluksistaan

Julkaistu: Joulukuu 15, 2022

Suosittu VPN-toimittaja ExpressVPN ilmoitti Kyberturvallisuusyritys Cure53 suoritti tiistaina erilliset arvioinnit Android- ja iOS-mobiilisovelluksistaan ​​valkoisen laatikon penetraatiotestauksella ja lähdekooditarkastuksilla. - Android-sovelluksensa tarkastus tehtiin elokuussa, kun taas iOS-tarkastus tapahtui elokuun lopusta syyskuun alkuun.

Cure53:n auditoinnit sisälsivät myös tutkimukset ExpressVPN:n integroidusta salasananhallinnasta sen mobiilisovelluksille, ExpressVPN-avaimet, sekä sen VPN-protokollan integrointi ja riippuvuudet.

Nämä riippumattomat tietoturva-arvioinnit ovat ratkaisevan tärkeitä annettaessa puolueetonta tietoa ExpressVPN:n tietoturvavaatimuksista. Lisäksi ne tarjoavat tietoa siitä, kuinka hyvin VPN voi suojautua haitallisten toimijoiden ja kolmansien osapuolien sovellusten kyberhyökkäyksiä vastaan.

"Ymmärrämme kasvavan maailmanlaajuisen digitaalisen yksityisyyden ja suojauksen tarpeen, minkä vuoksi minulla on ilo kertoa, että Cure53:n riippumattomat tietoturvaasiantuntijat ovat nyt tarkastaneet molemmat ExpressVPN:n mobiilisovellukset. Tämä ilmoitus on vieläkin merkittävämpi, koska se tulee vain viikkoja kolmen työpöytäsovelluksemme täydellisen tarkastuksen sekä KPMG:n kirjautumattomuuskäytäntömme tarkastuksen jälkeen”, sanoi ExpressVPN-penetraatiotestauspäällikkö Brian Schirmacher. "Kursavien kyberturvayritysten, kuten Cure53, auditoinnit ovat yksi monista luottamus- ja avoimuusaloitteistamme. Haluamme jatkossakin asettaa rimaa korkealle teollisuudelle."

Android-sovelluksen tarkastuksen aikana Cure53 löysi kolme tietoturvahaavoittuvuutta, joiden vakavuus on "keskikokoinen" tai "matala". Kyberturvallisuusyritys antoi myös kymmenen yleistä koventamissuositusta ongelmiin, jotka on tunnistettu "Sekalaista: Informatiiviseksi".

"Tämä tulos tarjoaa runsaasti todisteita siitä, että ExpressVPN-tiimi ei vain ole tarkkaan tietoinen monista ongelmista, joita nykyaikaiset VPN-sovellukset yleensä kohtaavat, vaan myös kykenevät torjumaan niitä tehokkaasti", Cure53 sanoi raportissaan. "Yleisesti ottaen suhteellisen korkeasta löydöstuotosta huolimatta testaustiimin saama kokonaisvaikutelma tämän sitoutumisen jälkeen on riittävän positiivinen. Tämä johtuu ensisijaisesti siitä, että suurin osa löydöistä on muunnelmia yleisistä virhekonfiguraatioista, joita usein esiintyy Android-sovelluksissa."

"Tätä positiivista näkemystä vahvistaa myös se tosiasia, että mitään edellä mainituista haavoittuvuuksista ei voida suoraan käyttää hyväksi onnistuneiden hyökkäysten tekemiseen", yritys lisäsi.

iOS-sovelluksen osalta Cure53:n tarkastus löysi neljä haavoittuvuutta, joiden vakavuus on "keskikokoinen" tai "matala". Lisäksi kyberturvallisuusyritys teki viisi kovempaa suositusta, joilla oli pienempi hyödyntämispotentiaali.

"Se tosiasia, että kaikille löydöksille annettiin vakavuusluokka Keskitaso tai alhaisempi, osoittaa, että merkittäviä hyökkäyspintoja ja haitallisia uhkia ei ole olemassa", sanoi Cure53. "Kaiken kaikkiaan kehitystiimi ansaitsee kaikki ylistykset heidän huolellisesta työstään iOS-sovelluksen mahdollisten uhkien minimoimiseksi, ja vain pieniä muutoksia tarvitaan alustan nostamiseksi edelleen esimerkilliselle tasolle tietoturvan näkökulmasta."

ExpressVPN on sittemmin korjannut kaikki haavoittuvuudet, jotka on lueteltu sen Android- ja iOS-sovellusten auditoinneissa, ja antanut sisäisen tietoturvatiiminsä korjata useimmat ongelmat.