ExpressVPN przeszedł niezależne audyty swoich aplikacji na iOS i Androida

Opublikowany: 15 grudnia 2022 r.

Popularny dostawca VPN ExpressVPN ogłosił we wtorek firma Cure53 zajmująca się cyberbezpieczeństwem przeprowadziła osobne oceny swoich aplikacji mobilnych na Androida i iOS poprzez testy penetracyjne typu white-box i audyty kodu źródłowego. Połączenia audyt swojej aplikacji na Androida przeprowadzono w sierpniu, natomiast Audyt iOS występował od końca sierpnia do początku września.

Audyty Cure53 obejmowały również dochodzenia w sprawie zintegrowanego menedżera haseł ExpressVPN dla jego aplikacji mobilnych, Klucze ExpressVPN, wraz z integracją i zależnościami protokołów VPN.

Te niezależne oceny bezpieczeństwa mają kluczowe znaczenie dla dostarczania bezstronnych informacji dotyczących roszczeń bezpieczeństwa ExpressVPN. Ponadto oferują wgląd w to, jak dobrze VPN może się bronić przed cyberatakami ze strony złośliwych aktorów i aplikacji innych firm.

„Dostrzegamy rosnące globalne zapotrzebowanie na cyfrową ochronę prywatności i bezpieczeństwa, dlatego z przyjemnością informuję, że obie aplikacje mobilne ExpressVPN zostały skontrolowane przez niezależnych ekspertów ds. bezpieczeństwa Cure53. To ogłoszenie jest tym bardziej znaczące, że pojawia się zaledwie kilka tygodni po zakończeniu audytów naszych trzech aplikacji komputerowych, a także po audycie KPMG dotyczącym naszej polityki braku logów” — powiedział Brian Schirmacher, kierownik ds. testów penetracyjnych ExpressVPN. „Audyty przeprowadzane przez cenione firmy zajmujące się bezpieczeństwem cybernetycznym, takie jak Cure53, to jedna z naszych wielu inicjatyw w zakresie zaufania i przejrzystości. Chcemy nadal stawiać wysoko poprzeczkę dla branży”.

Podczas audytu aplikacji na Androida firma Cure53 wykryła trzy luki w zabezpieczeniach, które zostały ocenione jako „średnie” lub „niskie”. Firma zajmująca się bezpieczeństwem cybernetycznym przedstawiła również dziesięć ogólnych zaleceń dotyczących zaostrzenia problemów określonych jako „Różne: informacyjne”.

„Ten wynik dostarcza wystarczających dowodów na to, że zespół ExpressVPN jest nie tylko doskonale świadomy wielu problemów, z jakimi borykają się nowoczesne aplikacje VPN, ale także jest w stanie skutecznie im przeciwdziałać” – powiedział Cure53 w swoim raporcie. „Ogólnie rzecz biorąc, pomimo stosunkowo wysokiej wydajności wyników, ogólne wrażenie, jakie zespół testujący uzyskał po tym starciu, jest odpowiednio pozytywne. Wynika to przede wszystkim z faktu, że zdecydowana większość odkryć to odmiany typowych błędnych konfiguracji, które często występują w aplikacjach na Androida”.

„Ten pozytywny punkt widzenia potwierdza również fakt, że żadna z wyżej wymienionych luk nie może być bezpośrednio wykorzystana do przeprowadzenia skutecznych ataków” – dodała firma.

W przypadku aplikacji na iOS audyt Cure53 wykrył cztery luki, które zostały ocenione jako „średnie” lub „niskie”. Ponadto firma zajmująca się bezpieczeństwem cybernetycznym wydała pięć zaleceń dotyczących wzmocnienia o niższym potencjale wykorzystania.

„Fakt, że wszystkim znaleziskom przypisano średnią lub niższą ocenę ważności, wskazuje na całkowity brak znaczących powierzchni ataku i szkodliwego potencjału zagrożenia” – powiedział Cure53. „Ogólnie rzecz biorąc, zespół programistów zasługuje na najwyższe uznanie za należytą staranność w minimalizowaniu wszelkich potencjalnych zagrożeń dla aplikacji iOS, przy czym wymagane są tylko niewielkie poprawki, aby dalej podnosić platformę do wzorowego standardu z punktu widzenia bezpieczeństwa”.

Od tego czasu ExpressVPN wyeliminował wszystkie luki wymienione w audytach swoich aplikacji na Androida i iOS i zlecił swojemu wewnętrznemu zespołowi ds. bezpieczeństwa naprawienie większości problemów.