Do not speak Portuguese? Translate this site with Google or Bing Translator

Proton Technologies liberou o código fonte do ProtonVPN

A Proton Technologies liberou o código fonte do ProtonVPN sob a licença GPLv3. Confira os detalhes dessa importante mudança.

ProtonVPN é um provedor de serviços de rede virtual privada (VPN) operado pela empresa suíça Proton Technologies AG, a empresa por trás do serviço de email ProtonMail.

Proton Technologies liberou o código fonte do ProtonVPN

Proton Technologies liberou o código fonte do ProtonVPN

A Proton Technologies foi fundada por vários pesquisadores do CERN (Organização Européia de Pesquisa Nuclear) e está registrada na Suíça, que possui legislação rigorosa no campo da proteção da privacidade, o que não permite que agências de inteligência controlem informações.

Proton Technologies liberou o código fonte do ProtonVPN

Recentemente, a empresa Proton Technologies anunciou a abertura do código fonte dos programas clientes do ProtonVPN para Windows, macOS, Android e iOS (o cliente do console Linux foi aberto inicialmente). O código é coberto pela licença GPLv3.

Ao mesmo tempo, foram publicados relatórios sobre a auditoria independente desses aplicativos, nos quais não foram encontrados problemas que pudessem levar à descriptografia do tráfego VPN ou ao aumento de privilégios durante a auditoria.

O ProtonVPN usa OpenVPN (UDP/TCP) e o protocolo IKEv2, com criptografia AES-256. A empresa possui uma política rígida de não registro para dados de conexão do usuário e também evita que vazamentos de DNS e Web-RTC exponham os verdadeiros endereços IP dos usuários.

O ProtonVPN também inclui suporte para acesso ao Tor e um interruptor para desligar o acesso à Internet em caso de perda da conexão VPN.

O projeto ProtonVPN fornece um alto nível de proteção para o canal de comunicação usando AES-256, a troca de chaves é baseada em chaves RSA e HMAC de 2048 bits, o SHA-256 é usado para autenticação, há proteção contra ataques com base em na correlação dos fluxos de dados), ele se recusa a manter registros e se concentra não em obter lucros, mas em aumentar a segurança e a privacidade na Web (o projeto é financiado pelo fundo FONGIT, apoiado pela Comissão Europeia).

O lançamento do código ProtonVPN foi aberto como parte de uma iniciativa para garantir a transparência do projeto, para que especialistas independentes possam verificar se o código atende às especificações estabelecidas e verificar a exatidão da auditoria de segurança.

Estamos felizes em ser o primeiro provedor de VPN a abrir aplicativos de código-fonte em todas as plataformas (Windows, macOS, Android e iOS) e passar por uma auditoria de segurança independente. Transparência, ética e segurança são o núcleo da Internet que queremos construir e a razão pela qual criamos o ProtonVPN em primeiro lugar.


Como parte de uma colaboração com a Mozilla, que está desenvolvendo um serviço de VPN pago, os engenheiros da Mozilla também têm acesso a outras tecnologias ProtonVPN para auditoria.

Note-se que o próximo passo será a transferência para a categoria de aplicativos abertos e outros aplicativos ProtonVPN.

Entre os incidentes anteriores com o ProtonVPN, é possível identificar uma vulnerabilidade no aplicativo Windows que permitiu ao usuário aumentar seus privilégios no sistema para o administrador (a vulnerabilidade foi causada por uma interação incorreta entre o cliente gráfico não privilegiado e o serviço do sistema)

Uma auditoria do código do aplicativo para Windows, que terminou alguns dias atrás, revelou 4 vulnerabilidades (duas de gravidade média e duas secundárias): armazenamento em tokens de sessão e credenciais na memória do processo, chaves de servidor VPN predefinidas no arquivo de configuração (não usado para autenticação), incluindo informações de depuração e recebimento de conexões em todas as interfaces de rede.

Não há vulnerabilidades na versão do macOS. Na versão iOS, foram encontradas duas pequenas vulnerabilidades (o link do certificado SSL não é usado e funciona em dispositivos após o jailbreak não ser bloqueado).

Foram encontrados quatro problemas menores na versão Android (habilitar mensagens de depuração, falta de bloqueio de backups usando o utilitário ADB, criptografia de configurações com uma chave predefinida, falta de link de certificado SSL) e uma vulnerabilidade de gravidade média ( Encerramento de sessão incompleto que permite a reutilização de tokens de sessão).

O que está sendo falado no blog

Veja mais artigos publicados neste dia…

Related Posts

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Alterar definições de privacidade