Colin Thierry
Publicerad på: December 15, 2022
Populär VPN-leverantör ExpressVPN meddelade på tisdagen genomförde cybersäkerhetsföretaget Cure53 separata utvärderingar av sina Android- och iOS-mobilappar genom penetrationstestning av vita fält och källkodsrevisioner. Smakämnen revision av sin Android-app genomfördes i augusti, medan iOS revision inträffade från slutet av augusti till början av september.
Cure53s granskningar inkluderade även undersökningar av ExpressVPNs integrerade lösenordshanterare för sina mobilappar, ExpressVPN-nycklar, tillsammans med dess VPN-protokollintegrering och beroenden.
Dessa oberoende säkerhetsbedömningar är avgörande för att tillhandahålla opartisk information om ExpressVPN:s säkerhetsanspråk. Dessutom ger de insikt i hur väl VPN kan försvara sig mot cyberattacker från illvilliga aktörer och tredjepartsapplikationer.
"Vi erkänner det växande globala behovet av digital integritet och säkerhetsskydd, vilket är anledningen till att jag är glad att kunna dela att båda ExpressVPNs mobilappar nu har granskats av Cure53s oberoende säkerhetsexperter. Det här tillkännagivandet är ännu mer betydelsefullt eftersom det kommer bara veckor efter fullständiga granskningar av våra tre stationära appar, såväl som KPMG:s granskning av vår policy för inga loggar, säger ExpressVPNs penetrationstestledare Brian Schirmacher. "Revisioner av uppskattade cybersäkerhetsföretag som Cure53 är ett av våra många initiativ för förtroende och öppenhet. Vi vill fortsätta sätta ribban högt för branschen.”
Under sin granskning av Android-appen upptäckte Cure53 tre säkerhetsbrister, klassade som "medelstor" eller "låg" svårighetsgrad. Cybersäkerhetsföretaget lämnade också tio generella rekommendationer om hårdare problem för frågor som identifierats som "Övrigt: Information".
"Detta resultat ger gott om bevis för att ExpressVPN-teamet inte bara är mycket medvetet om de många problem som moderna VPN-applikationer tenderar att möta, utan också kan motverka dem effektivt", säger Cure53 i sin rapport. "Allmänt sett, trots det relativt höga utbytet av fynd, är det övergripande intrycket som testteamet fått efter detta engagemang tillräckligt positivt. Detta beror främst på det faktum att den stora majoriteten av fynden är variationer av vanliga felkonfigurationer som ofta finns i Android-applikationer."
"Denna positiva synpunkt bekräftas också av det faktum att ingen av de ovannämnda sårbarheterna direkt kan missbrukas för att genomföra framgångsrika attacker", tillade företaget.
För iOS-appen fann Cure53s granskning fyra sårbarheter, klassade som "medelstor" eller "låg" svårighetsgrad. Dessutom gjorde cybersäkerhetsföretaget fem hårdare rekommendationer med lägre potential för exploatering.
"Det faktum att alla fynd tilldelades en svårighetsgrad på Medium eller lägre indikerar en fullständig avsaknad av betydande attackytor och skadlig hotpotential", säger Cure53. "Allt som allt förtjänar utvecklingsteamet varje beröm för deras noggranna ansträngningar för att minimera potentiella hot för iOS-applikationen, med endast mindre justeringar som krävs för att ytterligare höja plattformen till en exemplarisk standard ur ett säkerhetsperspektiv."
ExpressVPN har sedan dess åtgärdat alla sårbarheter som listats i granskningarna av sina Android- och iOS-appar och låtit sitt interna säkerhetsteam fixa de flesta problemen.
