La sicurezza dei servizi VPN gestiti da terze parti è sempre più argomento scottante. Proprio qualche giorno fa avevamo dato conto delle accuse rivolte nei confronti di Hotspot Shield, una delle più famose e utilizzate VPN al mondo: Sicurezza VPN, Hotspot Shield accusata di monitorare il traffico degli utenti.
Proprio per questo motivo TunnelBear, servizio VPN del quale abbiamo spesso parlato (vedere questi articoli), ha deciso di effettuare la prima revisione pubblica della sicurezza della sua soluzione VPN.
Si tratta del primo audit condotto da un servizio VPN di terze parti rivolgendosi a un soggetto terzo.
A svolgere tutte le verifiche sul funzionamento di TunnelBear e sulle garanzie davvero offerte agli utenti, è stata Cure53, stessa organizzazione che di recente ha curato anche altri controlli (Messaggistica più sicura con l’app Briar che si appoggia alla rete Tor).
Alla società tedesca Cure53 è stato concesso pieno accesso ai sistemi di TunnelBear per 30 giorni nel 2016 e per 8 giorni nel 2017.
I risultati dell’indagine sono stati appena resi noti: Cure53 ha individuato due gravi vulnerabilità nell’estensione TunnelBear per Chrome per avrebbero potuto permettere, a un aggressore, di disabilitare il componente aggiuntivo. Un’altra lacuna di sicurezza nel client TunnelBear per macOS avrebbe potuto essere sfruttata – da parte di malintenzionati – per prendere pieno controllo del sistema.
Cure53 ha poi rilevato ulteriori tre vulnerabilità nelle API di TunnelBear così come nell’app Android.
Nel corso della nuova breve verifica condotta quest’estate, Cure53 ha messo a fuoco 13 nuovi problemi, seppur classificati come di entità più lieve.
Sebbene TunnelBear non sia propriamente orgogliosa dei risultati ottenuti, tutte le lacune di sicurezza sono state corrette. TunnelBear ha gettato un seme: audit periodici permettono da un lato di rilevare e sistemare eventuali vulnerabilità sconosciute, dall’altro di instillare fiducia nell’utenza.