ExpressVPN convalida la sicurezza delle sue app per dispositivi mobili tramite due audit esterni

I nostri utenti si affidano a noi per mantenere la loro attività online privata e sicura attraverso il nostro software e le misure sulla privacy che mettiamo in atto. Al fine di verificare che le misure di sicurezza di ExpressVPN funzionino come previsto, conduciamo numerosi test internamente e commissioniamo regolarmente audit a terze parti.

Siamo lieti di annunciare che la società di sicurezza informatica Cure53 ha condotto valutazioni separate sulle nostre app per Android e iOS attraverso penetration test di tipo white-box e audit del codice sorgente. L’audit della nostra app Android è stato condotto ad agosto, mentre quello per iOS da fine agosto a inizio settembre.

Gli audit hanno incluso la valutazione di ExpressVPN Keys, un password manager integrato nelle nostre app per dispositivi mobili, nonché l’integrazione e le dipendenze del nostro protocollo VPN.

Queste valutazioni indipendenti sono fondamentali per fornire una verifica imparziale delle nostre dichiarazioni sulla sicurezza. Offrono anche informazioni su come la nostra VPN può resistere agli attacchi di utenti malintenzionati e applicazioni di terze parti. Siamo soddisfatti delle verifiche condotte da Cure53 e attendiamo con impazienza ulteriori audit per contribuire a migliorare la nostra posizione di leader nel settore della sicurezza.

“Riconoscendo la crescente necessità globale in fatto di sicurezza e protezione della privacy digitale, sono lieto di annunciare che entrambe le app di ExpressVPN sono state verificate dagli esperti di sicurezza indipendenti di Cure53. Questo annuncio è ancora più significativo perché arriva a distanza di poche settimane dagli audit completi delle nostre tre app desktop, nonché dopo l’audit di KPMG sulla nostra politica no-log (la scelta di non conservare alcun tipo di registro). Gli audit da parte di stimate società di sicurezza informatica come Cure53 sono una delle nostre numerose iniziative per trasmettere fiducia e trasparenza. Il nostro obiettivo è quello di non fermarci, ma di continuare ad alzare l’asticella del settore in fatto di sicurezza”. Queste le parole di Brian Schirmacher, penetration testing manager di ExpressVPN.

Confermata la sicurezza delle app per Android e iOS di ExpressVPN

Durante l’indagine approfondita sulla nostra app per Android, Cure53 ha scoperto tre vulnerabilità di sicurezza, classificate come di gravità “media” o “bassa”. Hanno inoltre provveduto a formulare dieci raccomandazioni generali per l’incremento della sicurezza, tutte per questioni identificate come “Varie: informative”.

“Questo risultato fornisce ampie prove del fatto che il team di ExpressVPN non solo è consapevole dei numerosi problemi che le moderne applicazioni VPN tendono ad affrontare, ma che è anche in grado di contrastarli in modo efficace”, afferma Cure53 nel suo rapporto. “In generale, nonostante il numero relativamente elevato di risultanze, l’impressione complessiva acquisita dal team che ha condotto i test è adeguatamente positiva. Ciò è dovuto principalmente al fatto che la stragrande maggioranza delle risultanze è rappresentata da variazioni di configurazioni errate, spesso presenti nelle applicazioni Android.

“Questa valutazione positiva è corroborata anche dal fatto che nessuna delle vulnerabilità di cui sopra può essere direttamente sfruttata per condurre attacchi di successo.”

Leggi il rapporto dell’audit di Cure53 sulla nostra app per Android.

Per quanto riguarda la nostra app iOS, la valutazione dettagliata sulla sicurezza di Cure53 ha identificato quattro vulnerabilità, tutte classificate come di gravità “media” o “bassa”. Tre di questi problemi sono legati alla divulgazione di informazioni a livello locale, il che significa che un potenziale malintenzionato avrebbe bisogno dell’accesso fisico al dispositivo di un utente o di averlo compromesso per avere un qualche impatto sull’utente. La revisione ha anche formulato cinque raccomandazioni di rafforzamento con un potenziale di sfruttamento inferiore.

“Il fatto che a tutti i risultati sia stato assegnato un livello di gravità medio o basso, indica una completa mancanza di superfici di attacco significative e di potenziali minacce dannose”, afferma Cure53. “Tutto sommato, il team di sviluppo merita un plauso per i diligenti sforzi nel ridurre al minimo qualsiasi potenziale minaccia per l’applicazione iOS, con solo piccoli aggiustamenti necessari per elevare ulteriormente la piattaforma a uno standard esemplare dal punto di vista della sicurezza”.

Leggi il rapporto completo sull’audit di Cure53 per iOS.

Da allora abbiamo cercato di far tesoro di tutti i feedback evidenziati negli audit delle nostre app per Android e iOS. Il nostro team di sicurezza interna ha risolto la maggior parte dei problemi. In accordo con Cure53, abbiamo invece deciso di non intervenire su altri, a causa del potenziale impatto che le modifiche avrebbero potuto avere su usabilità e funzionalità dell’app.

La nostra dedizione alla salvaguardia della privacy degli utenti

Questi due nuovi audit delle app per dispositivi mobili portano a 13 il numero di valutazioni di sicurezza totali pubblicate da ExpressVPN. Ecco un elenco dei nostri precedenti audit esterni, ordinati cronologicamente:

• Un audit da parte di KPMG sulla nostra politica no-log (settembre 2022)
• Un audit da parte di Cure53 sulla nostra app per Linux (agosto 2022)
• Un audit da parte di Cure53 sulla nostra app per macOS (luglio 2022)
• Un audit di sicurezza da parte di Cure53 sul nostro router Aircove (luglio 2022)
• Un audit di sicurezza da parte di Cure53 su TrustedServer, la nostra tecnologia server VPN interna (maggio 2022)
• Un audit da parte di F-Secure sulla nostra app per Windows v12 (aprile 2022)
• Un audit di sicurezza da parte di F-Secure sulla nostra app per Windows v10 (marzo 2022)
• Un audit di sicurezza da parte di Cure53 sul nostro protocollo VPN Lightway (agosto 2021)
• Un audit da parte di PwC Switzerland sul nostro processo di verifica della build (giugno 2020)
• Un audit da parte di PwC Switzerland sulla conformità della nostra Informativa sulla privacy e della nostra tecnologia interna TrustedServer (giugno 2019)
• Un audit di sicurezza da parte di Cure53 sulla nostra estensione per browser (Novembre 2018)

Man mano che ampliamo la nostra gamma di offerte per privacy e sicurezza, desideriamo rilasciare verifiche di terze parti sui nostri prodotti in modo ancora più regolare.

Alcuni dei link presenti nell’articolo conducono a contenuti in lingua originale. Ci auguriamo che tu possa comunque apprezzarli.