Colin Thierry
Gepubliceerd op: 15 december 2022 
Populaire VPN-leverancier ExpressVPN aangekondigd op dinsdag voerde cyberbeveiligingsbedrijf Cure53 afzonderlijke beoordelingen uit van zijn mobiele Android- en iOS-apps door middel van white-box penetratietesten en broncode-audits. De audit van zijn Android-app werd uitgevoerd in augustus, terwijl de iOS-audit vond plaats van eind augustus tot begin september.
De audits van Cure53 omvatten ook onderzoeken naar de geïntegreerde wachtwoordbeheerder van ExpressVPN voor zijn mobiele apps, ExpressVPN-sleutels, samen met de integratie en afhankelijkheden van het VPN-protocol.
Deze onafhankelijke beveiligingsbeoordelingen zijn cruciaal bij het verstrekken van onpartijdige informatie over de beveiligingsclaims van ExpressVPN. Bovendien bieden ze inzicht in hoe goed de VPN zich kan verdedigen tegen cyberaanvallen van kwaadwillende actoren en applicaties van derden.
“We erkennen de groeiende wereldwijde behoefte aan digitale privacy- en beveiligingsbescherming, en daarom ben ik verheugd te kunnen meedelen dat beide mobiele apps van ExpressVPN nu zijn gecontroleerd door de onafhankelijke beveiligingsexperts van Cure53. Deze aankondiging is zelfs nog belangrijker omdat het slechts enkele weken na volledige audits van onze drie desktop-apps komt, evenals KPMG's audit van ons no-logs-beleid”, aldus ExpressVPN-penetratietestmanager Brian Schirmacher. “Audits door gerenommeerde cyberbeveiligingsbedrijven zoals Cure53 zijn een van onze vele initiatieven op het gebied van vertrouwen en transparantie. We willen de lat hoog blijven leggen voor de branche.”
Tijdens de audit van de Android-app ontdekte Cure53 drie beveiligingsproblemen, beoordeeld als "gemiddeld" of "laag" ernstig. Het cyberbeveiligingsbedrijf deed ook tien algemene verhardingsaanbevelingen voor problemen die werden geïdentificeerd als "Diversen: informatief".
"Deze uitkomst levert voldoende bewijs dat het ExpressVPN-team zich niet alleen terdege bewust is van de vele problemen waarmee moderne VPN-applicaties vaak worden geconfronteerd, maar ook in staat is om deze effectief tegen te gaan", aldus Cure53 in zijn rapport. “Over het algemeen is de algemene indruk die het testteam na deze opdracht heeft gekregen, ondanks de relatief hoge opbrengst van bevindingen, voldoende positief. Dit is voornamelijk te danken aan het feit dat de overgrote meerderheid van de bevindingen variaties zijn op veelvoorkomende misconfiguraties die vaak aanwezig zijn in Android-applicaties.”
"Dit positieve standpunt wordt ook bevestigd door het feit dat geen van de bovengenoemde kwetsbaarheden direct kan worden misbruikt om succesvolle aanvallen uit te voeren", voegde het bedrijf eraan toe.
Voor de iOS-app vond de audit van Cure53 vier kwetsbaarheden, beoordeeld als "gemiddeld" of "laag" ernstig. Bovendien deed het cyberbeveiligingsbedrijf vijf aanbevelingen voor verharding met een lager potentieel voor uitbuiting.
"Het feit dat alle bevindingen een ernstclassificatie van Medium of lager kregen, duidt op een volledig gebrek aan significante aanvalsoppervlakken en schadelijk dreigingspotentieel", aldus Cure53. "Al met al verdient het ontwikkelingsteam alle lof voor hun zorgvuldige inspanningen om mogelijke bedreigingen voor de iOS-applicatie te minimaliseren, met slechts kleine aanpassingen die nodig zijn om het platform verder te verheffen tot een voorbeeldige standaard vanuit een veiligheidsperspectief."
ExpressVPN heeft sindsdien alle kwetsbaarheden aangepakt die in de audits van zijn Android- en iOS-apps zijn vermeld, en heeft zijn interne beveiligingsteam de meeste problemen laten oplossen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.safetydetectives.com/news/expressvpn-underwent-independent-audits-of-its-ios-and-android-apps/
