Audit bij VPN providers Internet Access en TunnelBear

Audit bij VPN providers Internet Access en TunnelBear

De VPN providers Private Internet Access en TunnelBear hebben er allebei voor gekozen om een security-audit uit te laten voeren waarna de resultaten daarvan nu openbaar zijn gemaakt. TunnelBear vroeg het in Duitsland gevestigde securitybedrijf Cure52 aan het einde van vorig jaar en halverwege dit jaar om de eigen VPN software en serverinfrastructuur onder de loep te nemen.

Resultaten Tunnelbear

Toen de eerste audit werd uitgevoerd werden er meerdere kwetsbaarheden vastgesteld in zowel de browser-extensie als de macOS-client. Dit zorgde er voor dat een aanvaller de VPN verbinding door een kwaadaardige website kon worden uitgeschakeld. Met de macOS-client was het dan weer mogelijk voor een lokale aanvaller om rootrechten te verwerven. Ongeveer een half jaar later waren deze problemen opgelost, maar werden er nieuwe kwetsbaarheden aan het licht gebracht. Dit wordt duidelijk aan de hand van de resultaten die bekend werden gemaakt na afloop van de tweede audit.

Problemen met de VPN server van Tunnelbear

Ook tijdens de tweede audit bleek dat er problemen waren met de VPN server. Bestanden die zouden beschikken over gevoelige informatie waaronder bijvoorbeeld interne gebruikersnamen evenals wachtwoorden werden met te aanzienlijke permissies opgeslagen. Echter zou de aanvaller die de documenten wenst te benaderen toegang moeten hebben tot de server in kwestie. Dit zorgt er voor dat de onderzoekers allemaal zeer te spreken zijn over de vooruitgang welke door TunnelBear op vlak van security is geboekt.

Resultaten Private Internet Access

De VPN provider Private Internet Access koos er voor om niet haar eigen diensten te laten auditen, maar wel één van de softwarebibliotheken waar het gebruik van maakt. Het zou gaan om de opensource-cryptobibliotheek Libsodium. Deze kan voor diverse doeleinden worden gebruikt. Denk op dit vlak onder meer aan de digitale valuta Zcash. Het was de gerenommeerde cryptograaf Matthew Green die de audit uitvoerde en die geen aanzienlijke kwetsbaarheden aan het daglicht bracht. Green is dan ook van mening dat Libsodium niet alleen een zorgvuldig geïmplementeerde, maar bovendien ook uitermate veilige cryptobibliotheek is.

Leave your thought here

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *