ExpressVPN valideert de veiligheid van apps met twee externe audits

Onze gebruikers vertrouwen op ons om hun online activiteiten privé en veilig te houden met onze software en de privacymaatregelen die wij genomen hebben. Om te bevestigen dat de beveiliging van ExpressVPN werkt zoals het bedoeld is, voeren we niet alleen intern talloze tests uit, maar laten we ook regelmatig derden audits uitvoeren.

Met genoegen kondigen wij aan dat het cybersecurity-bedrijf Cure53 onze mobiele apps voor Android en iOS apart heeft beoordeeld door middel van white-box-pentesten en audits van de broncodes. De audit van onze Android-app is in augustus uitgevoerd, en die voor iOS van eind augustus tot begin september.

De audits hielden ook onderzoek in van ExpressVPN Keys, een wachtwoordmanager die is geïntegreerd in onze mobiele apps, evenals onze VPN-protocolintegratie en afhankelijkheden.

Deze onafhankelijke beoordelingen verschaffen overduidelijk een onbevooroordeelde verificatie van onze veiligheidsclaims. Ze bieden ook duidelijkheid over hoe goed onze VPN aanvallen van kwaadwillende gebruikers en applicaties van derden kan weerstaan. Wij zijn tevreden over de verificaties die door Cure53 zijn uitgevoerd, en kijken uit naar nog meer audits om onze claims, die leidend zijn in de sector, te helpen evalueren.

“We erkennen de groeiende wereldwijde behoefte aan digitale privacybescherming en beveiliging; daarom maak ik met veel genoegen bekend dat beide mobiele apps van ExpressVPN nu zijn beoordeeld door de onafhankelijke veiligheidsdeskundigen van Cure53. Dit nieuws is des te significanter omdat het komt slechts een paar weken na het voltooien van de audits van onze drie desktop-apps, en de KPMG-audit van ons beleid tegen logs,” zei Brian Schirmacher, penetratrietest-manager bij ExpressVPN. “Audits door gerenommeerde cybersecurity-bedrijven als Cure53 maken onderdeel uit van onze vele initiatieven op het gebied van vertrouwen en transparantie. We streven ernaar om de lat voor de branche hoog te blijven leggen.”

Android- en iOS-apps van ExpressVPN veilig bevonden

Tijdens het diepgaande onderzoek van onze mobiele app voor Android heeft Cure53 drie veiligheidskwetsbaarheden gevonden; de ernst daarvan is beoordeeld als “matig” tot “laag”. Cure53 heeft ook tien algemene verstevigende aanbevelingen gedaan, allemaal voor kwesties die zijn geïdentificeerd als “Diversen: informeel”.

“Dit resultaat biedt ruim bewijs dat het ExpressVPN-team zich niet alleen zeer bewust is van de vele problemen die moderne VPN-applicaties onder ogen moeten zien, maar ook in staat is om ze effectief aan te pakken,” meldt Cure53 in de rapportage. “Algemeen gesproken is, ondanks het relatief hoge aantal bevindingen, de globale indruk die het testteam heeft overgehouden aan deze opdracht, behoorlijk positief. Voornamelijk omdat de overgrote meerderheid van de bevindingen bestaat uit variaties op veelvoorkomende verkeerde configuraties die vaak aanwezig zijn in Android-applicaties.”

“Dit positieve gezichtspunt wordt ook ondersteund door het feit dat geen van de bovengenoemde kwetsbaarheden rechtstreeks kan worden misbruikt om met succes aanvallen uit te voeren.”

Lees de rapportage van Cure53 over de audit van onze Android-app.

Wat betreft onze iOS-app heeft de gedetailleerde veiligheidsbeoordeling van Cure53 vier kwetsbaarheden geïdentificeerd, en die zijn allemaal beoordeeld als “matig” of “laag”. Drie van deze kwesties hebben te maken met lokale zichtbaarheid van informatie; dat betekent dat iemand die daar misbruik van wil maken, fysieke toegang moet hebben tot het apparaat van de gebruiker, of er al in zijn binnengedrongen, om van invloed te zijn op de gebruiker. In het verslag worden ook vijf versterkende aanbevelingen gedaan met minder exploitatiepotentieel.

“Het feit dat alle bevindingen van matige of lagere ernst zijn, geeft aan dat er absoluut geen significante aanvalsmogelijkheden of dreigingspotentieel met schadelijke gevolgen zijn gevonden,” constateert Cure53. “Alles bij elkaar verdient het ontwikkelteam een groot applaus voor hun doorgewinterde pogingen om alle mogelijke bedreigingen voor de iOS-applicatie te minimaliseren, en zijn er slechts kleine aanpassingen nodig om het platform verder te verheffen tot een groot voorbeeld vanuit veiligheidsperspectief.”

Lees de volledige audit van iOS door Cure53. 

We hebben daarna alle feedback aangepakt die in de audits van onze Android en iOS mobiele apps is aangegeven. Ons interne veiligheidsteam heeft de meeste problemen opgelost. We hebben er een paar niet aangepakt omwille van de mogelijke impact van de reparatie op de bruikbaarheid en functionaliteit van de app, en daar was Cure53 het mee eens.

Onze inzet voor het beschermen van de privacy van gebruikers

De nieuwe audit van deze twee apps brengt de ExpressVPN-lijst met gepubliceerde veiligheidsbeoordelingen op 13. Hieronder zie je een lijst met onze eerdere externe audits, chronologisch gerangschikt:

• een audit door KPMG van ons no-logbeleid (september 2022)
• een audit door Cure53 van onze Linux-app (augustus 2022)
• een audit door Cure53 van onze macOS-app (juli 2022)
• een veiligheidsaudit door Cure53 van onze Aircove-router (juli 2022)
• een veiligheidsaudit door Cure53 van TrustedServer, onze intern ontwikkelde VPN-servertechnologie (mei 2022) 
• een audit door F-Secure van onze Windows v12-app (april 2022)
• een veiligheidsaudit door F-Secure van onze  Windows v10-app (maart 2022)
• een veiligheidsaudit door Cure53 van ons VPN-protocol Lightway (augustus 2021)
• een audit door PwC Switzerland om ons verificatieproces te ontwikkelen (juni 2020)
• een audit door PwC Switzerland van de handhaving van ons privacybeleid en onze eigen TrustedServer-technologie (juni 2019)
• een veiligheidsaudit door Cure53 van onze browserextensie (november 2018)

Naarmate wij onze privacy- en veiligheidsinstrumenten uitbreiden, zijn wij er ook op gebrand om steeds meer verificaties door derden van onze producten openbaar te maken.

Enkele van de links in dit artikel leiden naar content in de oorspronkelijke taal. Hopelijk heb je er nog steeds iets aan.