Открыт исходный код приложений ProtonVPN

в 6:12, , рубрики: github, ITSumma, open source, proton technologies, protonvpn, Блог компании ITSumma, информационная безопасность, исходный код, шифрование

Открыт исходный код приложений ProtonVPN - 1

Компания Proton Technologies, развивающая защищённый почтовый сервис и VPN, открыла исходные тексты клиентских программ ProtonVPN для Windows, macOS, Android и iOS, сообщает OpenNET. Код открыт под лицензией GPLv3.

Также опубликованы отчёты о проведении независимого аудита указанных приложений. По его результатам проблем, которые могут привести к расшифровке VPN-трафика или повышению привилегий, не обнаружено.

Код открыт для того, чтобы независимые эксперты могли убедиться в его соответствии заявленным спецификациям и проконтролировать корректность проведения аудита безопасности. Следующим шагом станет перевод в разряд открытых остальных приложений ProtonVPN.

Ранее были выявлены уязвимости в приложении для Windows, позволявшей пользователю поднять свои привилегии в системе до администратора (уязвимость была вызвана некорректным взаимодействием между непривилегированным GUI-клиентом и системным сервисом).

И хотя официально сообщается об отсутствии критичных проблем по результатам аудита, некоторые уязвимости всё же были найдены. Так, аудит кода приложения для Windows выявил наличие 4 уязвимостей (две средней степени опасности и две незначительные): хранение в сессионных токенов и учётных данных в памяти процесса, предопределённые в файле конфигурации ключи VPN-сервера (не используются для аутентификации), включение отладочной информации и приём соединений на всех сетевых интерфейсах.

В версии для iOS также найдены две незначительные уязвимости (не используется привязка SSL-сертификата и не блокируется работа на устройствах после jailbreak). В версии для Android обнаружены четыре незначительные проблемы (включение отладочных сообщений, отсутствие блокировки бэкапа при помощи утилиты ADB, шифрование настроек предопределённым ключом, отсутствие привязки SSL-сертификата) и одна уязвимость средней степени опасности (неполное завершение сеанса, допускающее повторное использование сессионных токенов).

В версии для macOS уязвимостей не выявлено.

Компания Proton Technologies основана несколькими исследователями из ЦЕРН (Европейская организация по ядерным исследованиям) и зарегистрирована в Швейцарии, имеющей жёсткое законодательство в области защиты частной жизни, не позволяющее спецслужбам контролировать информацию. Проект ProtonVPN обеспечивает высокий уровень защиты канала связи (поток шифруется при помощи AES-256, обмен ключами осуществляется на основе 2048-битных RSA-ключей и HMAC, для аутентификации используется SHA-256, имеется защита от атак, основанных на корреляции потоков данных), отказывается от ведения логов и ориентирован не на получение прибыли, а на повышение безопасности и приватности в Web (проект финансируется фондом FONGIT, поддерживаемым Еврокомиссией).

Автор: ITSumma

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js