Colin Thierry
Được đăng trên: 15 Tháng mười hai, 2022
Nhà cung cấp VPN phổ biến ExpressVPN công bố vào thứ ba, công ty an ninh mạng Cure53 đã tiến hành đánh giá riêng biệt các ứng dụng dành cho thiết bị di động Android và iOS của mình thông qua thử nghiệm thâm nhập hộp trắng và kiểm tra mã nguồn. Sản phẩm kiểm tra ứng dụng Android của nó được tiến hành vào tháng XNUMX, trong khi kiểm toán iOS xảy ra từ cuối tháng XNUMX đến đầu tháng XNUMX.
Các cuộc kiểm toán của Cure53 cũng bao gồm các cuộc điều tra về trình quản lý mật khẩu tích hợp của ExpressVPN cho các ứng dụng di động của nó, Phím ExpressVPN, cùng với sự tích hợp và phụ thuộc giao thức VPN của nó.
Những đánh giá bảo mật độc lập này rất quan trọng trong việc cung cấp thông tin khách quan về các tuyên bố bảo mật của ExpressVPN. Ngoài ra, chúng còn cung cấp cái nhìn sâu sắc về việc VPN có thể tự bảo vệ mình tốt như thế nào trước các cuộc tấn công mạng từ các tác nhân độc hại và ứng dụng của bên thứ ba.
“Chúng tôi nhận thấy nhu cầu toàn cầu ngày càng tăng về bảo vệ quyền riêng tư và bảo mật kỹ thuật số, đó là lý do tại sao tôi vui mừng chia sẻ rằng cả hai ứng dụng di động của ExpressVPN hiện đã được các chuyên gia bảo mật độc lập của Cure53 kiểm tra. Thông báo này thậm chí còn quan trọng hơn vì nó được đưa ra chỉ vài tuần sau khi chúng tôi kiểm tra xong ba ứng dụng dành cho máy tính để bàn của chúng tôi, cũng như kiểm tra của KPMG về chính sách không ghi nhật ký của chúng tôi,” Brian Schirmacher, giám đốc thử nghiệm thâm nhập của ExpressVPN cho biết. “Các cuộc kiểm toán của các công ty an ninh mạng uy tín như Cure53 là một trong nhiều sáng kiến về sự tin cậy và minh bạch của chúng tôi. Chúng tôi muốn tiếp tục thiết lập tiêu chuẩn cao cho ngành.”
Trong quá trình kiểm tra ứng dụng Android, Cure53 đã phát hiện ra ba lỗ hổng bảo mật, được đánh giá ở mức độ nghiêm trọng “trung bình” hoặc “thấp”. Công ty an ninh mạng cũng đưa ra mười khuyến nghị cứng rắn chung cho các vấn đề được xác định là “Khác: Thông tin”.
“Kết quả này cung cấp nhiều bằng chứng cho thấy nhóm ExpressVPN không chỉ nhận thức sâu sắc về nhiều vấn đề mà các ứng dụng VPN hiện đại có xu hướng gặp phải mà còn có thể chống lại chúng một cách hiệu quả,” Cure53 cho biết trong báo cáo của mình. “Nói chung, mặc dù kết quả thu được tương đối cao, nhưng ấn tượng chung mà nhóm thử nghiệm đạt được sau lần tương tác này là khá tích cực. Điều này chủ yếu là do phần lớn các phát hiện là biến thể của các cấu hình sai phổ biến thường xuất hiện trong các ứng dụng Android.”
Công ty cho biết thêm: “Quan điểm tích cực này cũng được chứng thực bởi thực tế là không có lỗ hổng nào nói trên có thể bị lạm dụng trực tiếp để thực hiện các cuộc tấn công thành công”.
Đối với ứng dụng iOS, quá trình kiểm tra của Cure53 đã tìm thấy bốn lỗ hổng, được đánh giá ở mức độ nghiêm trọng “trung bình” hoặc “thấp”. Ngoài ra, công ty an ninh mạng đã đưa ra năm khuyến nghị cứng rắn với khả năng khai thác thấp hơn.
Cure53 cho biết: “Thực tế là tất cả các phát hiện đều được xếp hạng mức độ nghiêm trọng là Trung bình hoặc thấp hơn cho thấy hoàn toàn thiếu các bề mặt tấn công đáng kể và khả năng đe dọa gây thiệt hại”. “Nói chung, nhóm phát triển xứng đáng nhận được mọi lời khen ngợi vì những nỗ lực siêng năng của họ trong việc giảm thiểu bất kỳ mối đe dọa tiềm tàng nào đối với ứng dụng iOS, chỉ với những điều chỉnh nhỏ cần thiết để nâng cao hơn nữa nền tảng lên một tiêu chuẩn mẫu mực từ góc độ bảo mật.”
Kể từ đó, ExpressVPN đã giải quyết tất cả các lỗ hổng được liệt kê trong quá trình kiểm tra các ứng dụng Android và iOS của mình, đồng thời yêu cầu nhóm bảo mật nội bộ khắc phục hầu hết các sự cố.
