ExpressVPN validiert die Sicherheit seiner mobilen Apps durch zwei externe Audits

Unsere Nutzer verlassen sich darauf, dass wir die Sicherheit und die Privatsphäre ihrer Online-Aktivitäten durch unsere Software und die von uns getroffenen Datenschutzmaßnahmen wahren. Um sicherzustellen, dass die Sicherheitsvorkehrungen von ExpressVPN wie vorgesehen funktionieren, führen wir zahlreiche interne Tests durch und beauftragen auch regelmäßig Dritte mit Audits.

Wir freuen uns, Ihnen mitteilen zu können, dass das Cybersicherheitsunternehmen Cure53 unsere mobilen Android- und iOS-Apps durch White-Box-Penetrationstests und Quellcode-Audits getrennt bewertet hat. Das Audit unserer Android-App wurde im August durchgeführt, das iOS-Audit von Ende August bis Anfang September.

Im Rahmen der Audits wurden auch der in unseren Apps für Mobilgeräte integrierte Passwort-Manager ExpressVPN Keys und die Abhängigkeiten und Integration unserer VPN-Protokolle geprüft. 

Diese unabhängigen Bewertungen sind für die unvoreingenommene Überprüfung unserer Sicherheitsansprüche von größter Bedeutung. Sie geben auch Aufschluss darüber, wie gut unser VPN Angriffen durch böswillige Benutzer und Anwendungen von Drittanbietern standhalten kann. Wir sind mit den von Cure53 durchgeführten Audits zufrieden und freuen uns auf weitere Untersuchungen, die dazu beitragen werden, unseren branchenführenden Sicherheitsstatus zu verbessern. 

“Wir erkennen das wachsende weltweite Bedürfnis nach Schutz der digitalen Privatsphäre und Sicherheit an. Deshalb freue ich mich, Ihnen mitteilen zu können, dass beide mobile Apps von ExpressVPN jetzt von den unabhängigen Sicherheitsexperten von Cure53 geprüft wurden. Diese Nachricht ist umso bedeutsamer, da sie nur wenige Wochen nach den vollständigen Audits unserer drei Desktop-Apps sowie der Prüfung unserer No-Logs-Richtlinie durch KPMG erfolgt“, sagte Brian Schirmacher, Penetrationstest-Manager bei ExpressVPN. „Audits durch angesehene Cybersicherheitsfirmen wie Cure53 sind eine unserer vielen Initiativen für Vertrauen und Transparenz. Wir wollen die Messlatte für die Branche weiterhin hoch ansetzen.” 

Die Sicherheit der mobilen Apps von ExpressVPN für Android und iOS wurde bestätigt

Bei der eingehenden Untersuchung unserer mobilen Android-App entdeckte Cure53 drei Sicherheitslücken, die als „mittel“ oder „gering“ eingestuft wurden. Außerdem nannte es zehn allgemeine Empfehlungen zur Verbesserung der Sicherheit, die sich alle auf Probleme beziehen, die als „Sonstiges: informativ“ eingestuft wurden. 

“Dieses Ergebnis ist ein deutlicher Beweis dafür, dass das ExpressVPN-Team nicht nur die vielen Probleme moderner VPN-Anwendungen kennt, sondern auch in der Lage ist, sich ihnen wirksam zu stellen“, so Cure53 in seinem Bericht. „Generell ist der Gesamteindruck, den das Testteam nach diesem Einsatz gewonnen hat, trotz der relativ hohen Zahl an Feststellungen angemessen positiv. Dies ist vor allem darauf zurückzuführen, dass es sich bei der überwiegenden Mehrheit der Erkenntnisse um Variationen gängiger Fehlkonfigurationen handelt, die in Android-Apps häufig vorkommen.” 

“Dieser positive Eindruck wird auch durch die Tatsache untermauert, dass keine der genannten Schwachstellen direkt zur Durchführung erfolgreicher Angriffe missbraucht werden kann.”

Lesen Sie den Cure53-Bericht zum Audit unserer Android-App.

Was unsere iOS-App betrifft, so hat die detaillierte Sicherheitsbewertung von Cure53 vier Schwachstellen identifiziert, die alle als „mittel“ oder „niedrig“ eingestuft wurden. Drei dieser Schwachstellen stehen im Zusammenhang mit der Offenlegung lokaler Informationen, was bedeutet, dass ein Angreifer physischen Zugriff auf das Gerät eines Benutzers benötigt oder es kompromittiert haben muss, um dem Benutzer schaden zu können. Die Bewertung enthielt auch fünf Empfehlungen für Sicherheitsmaßnahmen mit geringerem Ausnutzungspotenzial. 

“Die Tatsache, dass alle Feststellungen mit einem Schweregrad von Mittel oder niedriger eingestuft wurden, deutet darauf hin, dass es keine signifikanten Angriffsflächen und kein schädliches Bedrohungspotenzial gibt“, so Cure53. „Alles in allem verdient das Entwicklungsteam großes Lob für seine sorgfältigen Anstrengungen, potenzielle Bedrohungen für die iOS-App zu minimieren. Es sind nur geringfügige Anpassungen erforderlich, um die Plattform aus der Sicherheitsperspektive auf einen vorbildlichen Standard zu heben.”

Lesen Sie den umfassenden Cure53-Bericht zu dem Audit für iOS. 

Wir haben uns inzwischen um alle Auffälligkeiten gekümmert, die bei den Audits unserer mobilen Apps für Android und iOS festgestellt wurden. Unser internes Sicherheitsteam hat die Mehrzahl der Probleme behoben. Bei jenen, die wir nicht geändert haben, waren die möglichen Auswirkungen auf die Benutzerfreundlichkeit und Funktionalität der App ausschlaggebend, womit Cure53 einverstanden war.

Unser Engagement zur Sicherstellung der Privatsphäre unserer Nutzer

Mit diesen beiden neuen Audits für mobile Anwendungen beläuft sich die Liste der veröffentlichten Sicherheitsbewertungen von ExpressVPN auf insgesamt 13. Hier finden Sie eine Liste unserer vergangenen externen Audits in chronologischer Reihenfolge:

• Ein Audit von KPMG zu unserer No-Logs-Richtlinie (September 2022)
• Ein Audit von Cure53 zu unserer Linux-App (August 2022)
• Ein Audit von Cure53 zu unserer macOS-App (Juli 2022)
• Ein Sicherheitsaudit von Cure53 für unseren Aircove-Router (Juli 2022)
• Ein Sicherheitsaudit von Cure53 zu TrustedServer, unserer internen VPN-Servertechnologie (Mai 2022)
• Ein Audit von F-Secure zu unserer App für Windows v12 (April 2022)
• Ein Sicherheitsaudit von F-Secure für unsere App für Windows v10 (März 2022)
• Ein Sicherheitsaudit von Cure53 für unser VPN-Protokoll Lightway (August 2021)
• Ein Audit durch PwC Schweiz zu unserem Build-Verifizierungsprozess (Juni 2020)
• Ein Audit durch PwC Schweiz zur Einhaltung unserer Datenschutzrichtlinien und unserer hauseigenen TrustedServer-Technologie (Juni 2019)
• Ein Sicherheitsaudit unserer Browsererweiterung durch Cure53 (November 2018)

Während wir unser Angebot an Datenschutz- und Sicherheitslösungen erweitern, sind wir bestrebt, noch mehr regelmäßige Verifizierungen durch Dritte für unsere Produkte zu veröffentlichen.

Auch wenn einige der Inhalte, auf die wir in diesem Artikel verlinken, noch in der Originalsprache vorliegen, halten wir es für sinnvoll, sie hier zu veröffentlichen. Wir hoffen, dass sie Ihnen trotzdem gefallen.