ExpressVPN è stata sottoposta a controlli indipendenti delle sue app iOS e Android

Pubblicato il: Dicembre 15, 2022

Famoso fornitore di VPN ExpressVPN ha annunciato martedì la società di sicurezza informatica Cure53 ha condotto valutazioni separate delle sue app mobili Android e iOS attraverso test di penetrazione white-box e audit del codice sorgente. Il verifica della sua app per Android è stato condotto nel mese di agosto, mentre il Controllo iOS avvenuta da fine agosto a inizio settembre.

Gli audit di Cure53 includevano anche indagini sul gestore di password integrato di ExpressVPN per le sue app mobili, Chiavi ExpressVPN, insieme all'integrazione e alle dipendenze del protocollo VPN.

Queste valutazioni di sicurezza indipendenti sono fondamentali per fornire informazioni imparziali sulle affermazioni sulla sicurezza di ExpressVPN. Inoltre, offrono informazioni su quanto bene la VPN può difendersi dagli attacchi informatici di attori malintenzionati e applicazioni di terze parti.

“Riconosciamo la crescente esigenza globale di privacy digitale e protezioni di sicurezza, motivo per cui sono lieto di condividere che entrambe le app mobili di ExpressVPN sono state ora verificate dagli esperti di sicurezza indipendenti di Cure53. Questo annuncio è ancora più significativo in quanto arriva poche settimane dopo gli audit completi delle nostre tre app desktop, nonché l'audit di KPMG della nostra politica di no-log", ha affermato Brian Schirmacher, responsabile dei test di penetrazione di ExpressVPN. “Gli audit da parte di stimate società di sicurezza informatica come Cure53 sono una delle nostre numerose iniziative di fiducia e trasparenza. Vogliamo continuare a fissare un livello alto per il settore”.

Durante l'audit dell'app Android, Cure53 ha scoperto tre vulnerabilità di sicurezza, classificate come severità "media" o "bassa". La società di sicurezza informatica ha anche formulato dieci raccomandazioni generali di rafforzamento per problemi identificati come "Varie: informative".

"Questo risultato fornisce ampie prove del fatto che il team di ExpressVPN non solo è profondamente consapevole dei numerosi problemi che le moderne applicazioni VPN tendono ad affrontare, ma è anche in grado di contrastarli efficacemente", ha affermato Cure53 nel suo rapporto. “In generale, nonostante la resa relativamente alta dei risultati, l'impressione generale ottenuta dal team di test a seguito di questo impegno è sufficientemente positiva. Ciò è dovuto principalmente al fatto che la stragrande maggioranza dei risultati sono variazioni di configurazioni errate comuni che sono spesso presenti nelle applicazioni Android.

"Questo punto di vista positivo è anche corroborato dal fatto che nessuna delle suddette vulnerabilità può essere sfruttata direttamente per condurre attacchi di successo", ha aggiunto l'azienda.

Per l'app iOS, l'audit di Cure53 ha rilevato quattro vulnerabilità, classificate come gravità "media" o "bassa". Inoltre, la società di sicurezza informatica ha formulato cinque raccomandazioni di rafforzamento con un potenziale di sfruttamento inferiore.

"Il fatto che a tutti i risultati sia stato assegnato un livello di gravità medio o inferiore indica una completa mancanza di superfici di attacco significative e potenziale di minaccia dannosa", ha affermato Cure53. "Tutto sommato, il team di sviluppo merita ogni plauso per i suoi diligenti sforzi nel ridurre al minimo qualsiasi potenziale minaccia per l'applicazione iOS, con solo piccoli aggiustamenti necessari per elevare ulteriormente la piattaforma a uno standard esemplare dal punto di vista della sicurezza".

Da allora ExpressVPN ha risolto tutte le vulnerabilità elencate negli audit delle sue app Android e iOS e il suo team di sicurezza interno ha risolto la maggior parte dei problemi.