Audit bij VPN providers Internet Access en TunnelBear

Resultaten Tunnelbear

Toen de eerste audit werd uitgevoerd werden er meerdere kwetsbaarheden vastgesteld in zowel de browser-extensie als de macOS-client. Dit zorgde er voor dat een aanvaller de VPN verbinding door een kwaadaardige website kon worden uitgeschakeld. Met de macOS-client was het dan weer mogelijk voor een lokale aanvaller om rootrechten te verwerven. Ongeveer een half jaar later waren deze problemen opgelost, maar werden er nieuwe kwetsbaarheden aan het licht gebracht. Dit wordt duidelijk aan de hand van de resultaten die bekend werden gemaakt na afloop van de tweede audit.

Problemen met de VPN server van Tunnelbear

Ook tijdens de tweede audit bleek dat er problemen waren met de VPN server. Bestanden die zouden beschikken over gevoelige informatie waaronder bijvoorbeeld interne gebruikersnamen evenals wachtwoorden werden met te aanzienlijke permissies opgeslagen. Echter zou de aanvaller die de documenten wenst te benaderen toegang moeten hebben tot de server in kwestie. Dit zorgt er voor dat de onderzoekers allemaal zeer te spreken zijn over de vooruitgang welke door TunnelBear op vlak van security is geboekt.

Resultaten Private Internet Access

De VPN provider Private Internet Access koos er voor om niet haar eigen diensten te laten auditen, maar wel één van de softwarebibliotheken waar het gebruik van maakt. Het zou gaan om de opensource-cryptobibliotheek Libsodium. Deze kan voor diverse doeleinden worden gebruikt. Denk op dit vlak onder meer aan de digitale valuta Zcash. Het was de gerenommeerde cryptograaf Matthew Green die de audit uitvoerde en die geen aanzienlijke kwetsbaarheden aan het daglicht bracht. Green is dan ook van mening dat Libsodium niet alleen een zorgvuldig geïmplementeerde, maar bovendien ook uitermate veilige cryptobibliotheek is.