Ogni giorno i nostri utenti si affidano a noi per proteggere le loro vite digitali. Uno dei modi in cui ci guadagniamo questa fiducia è quello di coinvolgere regolarmente esperti indipendenti di sicurezza informatica per valutare i nostri prodotti e convalidare l’accuratezza delle nostre affermazioni.
Oggi siamo lieti di condividere tre nuovi controlli, che interessano tutte le applicazioni per desktop di ExpressVPN. Abbiamo incaricato Cure53 di eseguire penetration test e verifiche del codice sorgente dei nostri client per desktop macOS e Linux. Anche F-Secure è stata incaricata di esaminare la nostra app per Windows v12 attraverso un penetration test e un controllo del codice sorgente, a pochi mesi da quello della nostra precedente app per Windows (v10).
Il risultato dei controlli e la collaborazione di lunga data con entrambe le società di sicurezza informatica ci rendono molto orgogliosi. Oggi siamo lieti di condividere con voi ulteriori risultati e approfondimenti emersi durante i controlli.
“Nell’ambito dei nostri continui sforzi in termini di affidabilità e trasparenza, siamo orgogliosi di annunciare che tutte le nostre applicazioni per desktop sono state sottoposte a verifica”, ha dichiarato Brian Schirmacher, penetration testing manager di ExpressVPN. “Questi controlli sono una testimonianza degli sforzi che facciamo per migliorare e rendere sicuro il nostro prodotto e siamo lieti di ricevere questo riconoscimento da parte di Cure53 e F-Secure. Ci impegneremo a realizzare presto dei controlli sulle nostre app per dispositivi mobili e continueremo a garantire la privacy e la sicurezza in ogni punto di contatto del nostro prodotto”.
Cure53 ha valutato la sicurezza delle nostre app per macOS e Linux
Cure53 ha testato le nostre applicazioni per desktop macOS e Linux attraverso penetration test white-box e verifiche del codice sorgente da giugno ad agosto 2022. Queste valutazioni sono fondamentali per determinare se le nostre app sono sufficientemente sicure da resistere ad attacchi di sicurezza da parte di malintenzionati, fornendo una convalida dell’ampio lavoro svolto dai nostri esperti di ingegneria e sicurezza.
Il team ha riscontrato un numero ridotto di problemi nella nostra applicazione per macOS, scoprendo solo due vulnerabilità di sicurezza e quattro carenze informative con un potenziale di sfruttamento ridotto. Abbiamo affrontato rapidamente tutti i risultati rilevanti e Cure53 ha rivisto le correzioni per garantire che non venissero introdotte ulteriori vulnerabilità.
“Per concludere, la valutazione dell’ultima iterazione dell’applicazione di ExpressVPN per macOS lascia un’impressione straordinariamente solida per quanto riguarda la sicurezza”, scrive Cure53 nel suo report. “Tutto sommato, il team di ExpressVPN merita un grande elogio per gli sforzi profusi nel fornire un client macOS estremamente sicuro. Sono necessari solo alcuni piccoli miglioramenti di hardening per aumentare la sicurezza della piattaforma a un livello esemplare”.
Allo stesso modo, la verifica della nostra applicazione per Linux ha restituito un breve elenco di problemi legati alla sicurezza. Delle cinque rilevate, c’erano due vulnerabilità di sicurezza e tre criticità generali con un potenziale di sfruttamento inferiore, che sono state tutte riviste dal nostro team interno. “L’assenza di risultati oltre il grado Medio è un altro forte indicatore positivo della condizione delle premesse di sicurezza degli obiettivi di ExpressVPN per Linux”, osserva Cure53.
Consulta il report completo per macOS qui e per Linux qui.
L’app per Windows v12 di ExpressVPN è più sicura che mai
F-Secure ha condotto un controllo di sicurezza sulla nostra ultima app per Windows (v12) da febbraio 2022 a marzo 2022. Nel corso delle verifiche sono state analizzate due importanti funzionalità dell’applicazione:
- Che l’app non possa essere manomessa per far trapelare informazioni (come l’indirizzo IP di un utente) al di fuori del tunnel VPN
- Che l’app non sia vulnerabile agli attacchi per l’esecuzione di codice remoto
Siamo lieti di comunicare che F-Secure non ha riscontrato alcuna significativa vulnerabilità. I revisori indipendenti di F-Secure hanno riscontrato solo un problema informativo nella nostra app per Windows v12, che non era sfruttabile. Il problema è già stato risolto, come confermato da F-Secure in un nuovo test effettuato nell’aprile del 2022.
Non sono stati riscontrati problemi critici, rilevanti, medi o minori. E, come nel precedente report, F-Secure ci ha fornito una recensione eccellente, concludendo che: “Non è stato possibile ottenere informazioni sui client di ExpressVPN o sul traffico della rete. Né è stato possibile eseguire codice da remoto attraverso attacchi come Man-in-the-Middle (MitM), downgrade TLS o packet injection”.
Qui è possibile leggere il report completo di F-Secure sull’app per Windows v12.
L’app per Windows v12 apporta miglioramenti notevoli alla sicurezza e all’integrazione dell’applicazione con il sistema operativo. Inoltre, è dotata di un backend rinnovato e ottimizzato per Lightway, il nostro protocollo esclusivo che abbiamo sviluppato per un’esperienza VPN più veloce, affidabile e sicura. Queste modifiche aprono la strada a nuove interessanti funzionalità per i nostri utenti Windows, come Parallel Connections e Threat Manager. Dati questi aggiornamenti, volevamo che la sicurezza di Windows v12 fosse verificata il prima possibile. Scarica ExpressVPN per Windows (v12).
Nota: la versione v12 è disponibile solo per gli utenti Windows 10 e versioni successive
Il nostro impegno nei confronti della privacy e dei controlli di sicurezza da parte di terzi
Questi tre nuovi controlli sulle nostre applicazioni per desktop portano il numero totale di verifiche pubblicate da ExpressVPN a 11, garantendo ai nostri utenti l’esperienza online più sicura possibile. Ecco i nostri precedenti controlli esterni e le valutazioni di sicurezza:
- Un controllo di KPMG sulla nostra politica di no-logs (settembre 2022)
- Un controllo di sicurezza di Cure53 del nostro router Aircove router (luglio 2022)
- Un controllo di sicurezza di Cure53 su TrustedServer, la nostra tecnologia server VPN interna (maggio 2022)
- Un controllo di sicurezza di F-Secure sulla nostra app per Windows v10 (marzo 2022)
- Un controllo di sicurezza di Cure53 sul nostro protocollo VPN Lightway (agosto 2021)
- Un controllo di PwC Switzerland sul nostro processo di verifica della build (giugno 2020)
- Un controllo di PwC Switzerland sulla conformità della nostra informativa sulla privacy e sulla nostra tecnologia interna TrustedServer (giugno 2019)
- Un controllo di sicurezza di Cure53 della nostra estensione per browser (novembre 2018)
Continueremo a mantenere il nostro impegno nel condurre un maggior numero di controlli da parte di terzi e con una maggiore frequenza. È uno dei tanti modi per garantire ai nostri utenti l’esperienza VPN più sicura possibile.
Anche se alcuni dei contenuti e dei report sono ancora nella lingua originale, riteniamo che sia importante includerli nell’articolo, e speriamo che tu possa apprezzarli in ogni caso.