Colin Thierry
Népszerű VPN szállító ExpressVPN bejelentés kedden a Cure53 kiberbiztonsági cég külön értékelést végzett Android és iOS mobilalkalmazásairól fehér dobozos penetrációs tesztelés és forráskód auditok révén. A Android-alkalmazásának auditálása augusztusában került sor, míg a iOS audit augusztus végétől szeptember elejéig történt.
A Cure53 auditjai kiterjedtek az ExpressVPN mobilalkalmazásaihoz tartozó integrált jelszókezelőjének vizsgálatára is, ExpressVPN kulcsok, valamint a VPN protokoll integrációja és függőségei.
Ezek a független biztonsági értékelések kulcsfontosságúak az ExpressVPN biztonsági követeléseivel kapcsolatos elfogulatlan információk biztosításához. Ezenkívül betekintést nyújtanak abba, hogy a VPN mennyire képes megvédeni magát a rosszindulatú szereplők és harmadik féltől származó alkalmazások kibertámadásai ellen.
„Tisztában vagyunk azzal, hogy globálisan egyre nagyobb szükség van a digitális adatvédelemre és biztonsági védelemre, ezért örömmel tudatom, hogy az ExpressVPN mindkét mobilalkalmazását a Cure53 független biztonsági szakértői ellenőrizték. Ez a bejelentés még jelentősebb, mivel alig néhány héttel azután érkezett, hogy három asztali alkalmazásunk teljes auditja, valamint a KPMG a bejelentkezés tilalmára vonatkozó irányelveinket ellenőrizte” – mondta Brian Schirmacher, az ExpressVPN penetrációs tesztelésért felelős menedzsere. „A nagyra becsült kiberbiztonsági cégek, például a Cure53 által végzett auditok egyike a sok bizalmi és átláthatósági kezdeményezésünknek. Továbbra is magasra akarjuk tenni a lécet az ipar számára.”
Az Android alkalmazás auditálása során a Cure53 három biztonsági rést fedezett fel, amelyek „közepes” vagy „alacsony” súlyosságúak. A kiberbiztonsági cég tíz általános szigorítási ajánlást is tett az „Egyéb: Tájékoztató” kategóriájú problémákra.
„Ez az eredmény bőséges bizonyítékot szolgáltat arra vonatkozóan, hogy az ExpressVPN csapata nem csupán tisztában van azzal a sok problémával, amellyel a modern VPN-alkalmazások általában szembesülnek, hanem képesek hatékonyan leküzdeni ezeket” – áll a Cure53 jelentésében. „Általánosságban elmondható, hogy az eredmények viszonylag magas hozama ellenére a tesztelő csapat által az elköteleződést követően kialakult összbenyomás megfelelően pozitív. Ez elsősorban annak a ténynek köszönhető, hogy a megállapítások túlnyomó többsége az Android alkalmazásokban gyakran előforduló hibás konfigurációk változata.”
„Ezt a pozitív álláspontot az is alátámasztja, hogy a fent említett sebezhetőségek egyikével sem lehet közvetlenül visszaélni sikeres támadások végrehajtásához” – tette hozzá a cég.
Az iOS-alkalmazás esetében a Cure53 auditja négy sebezhetőséget talált, amelyek „közepes” vagy „alacsony” súlyosságúak. Ezen túlmenően a kiberbiztonsági cég öt szigorúbb ajánlást tett, amelyek alacsonyabb kihasználási potenciállal rendelkeznek.
"Az a tény, hogy minden leletet közepes vagy annál alacsonyabb súlyossági besorolást kaptak, a jelentős támadási felületek és a káros fenyegetés teljes hiányát jelzi" - mondta Cure53. „Összességében a fejlesztőcsapat minden dicséretet megérdemel az iOS-alkalmazást fenyegető esetleges fenyegetések minimalizálása érdekében tett kellő gondos erőfeszítéseikért, és csak kisebb módosításokra van szükség ahhoz, hogy a platformot biztonsági szempontból példamutató színvonalra emeljék.”
Az ExpressVPN azóta minden, az Android és iOS-alkalmazások auditálása során felsorolt sebezhetőséget kiküszöbölte, és belső biztonsági csapata megoldotta a legtöbb problémát.