Nossos usuários confiam em nós para proteger suas vidas digitais diariamente. Uma das maneiras pelas quais ganhamos essa confiança é através da contratação de especialistas independentes em segurança cibernética para avaliar nossos produtos e validar a precisão de nossas reivindicações de segurança.
Hoje, estamos felizes em compartilhar três novas auditorias, cobrindo todos os aplicativos de desktop da ExpressVPN. Comissionamos a Cure53 para realizar testes de penetração e auditorias de código-fonte de nossos clientes de desktop, macOS e Linux. A F-Secure também foi contratada para revisar nosso aplicativo Windows v12 por meio de testes de penetração e auditoria de código-fonte, apenas alguns meses após a auditoria do nosso aplicativo anterior do Windows (v10).
Estamos muito satisfeitos com o resultado das auditorias, bem como com a nossa colaboração de longa data com ambas as empresas de segurança cibernética. Hoje, temos o prazer de compartilhar mais descobertas e insights das auditorias com você.
“Como parte de nossos contínuos esforços de confiança e transparência, temos o orgulho de anunciar que todos os nossos aplicativos de desktop já foram auditados”, disse Brian Schirmacher, gerente de testes de penetração da ExpressVPN. “Essas auditorias são um testemunho dos nossos esforços para melhorar e proteger nosso produto, e estamos felizes em receber a validação da Cure53 e da F-Secure. Estamos empenhados em realizar auditorias em nossos aplicativos móveis em breve e continuaremos a garantir privacidade e segurança em todos os pontos de contato de nosso produto.”
Cure53 valida a segurança de nossos aplicativos macOS e Linux
A Cure53 testou nossos aplicativos de desktop, macOS e Linux por meio de testes de penetração de caixa branca e auditorias de código-fonte de junho a agosto de 2022. Essas avaliações são fundamentais para determinar se nossos aplicativos são seguros o suficiente para resistir a ataques de segurança de adversários maliciosos, fornecendo validação do extenso trabalho realizado por nossos especialistas em engenharia e segurança.
Elas encontraram um reduzido número de problemas em nosso aplicativo macOS, descobrindo apenas duas vulnerabilidades de segurança e quatro fraquezas informacionais com baixo potencial de exploração. Resolvemos rapidamente todas as descobertas relevantes, com a Cure53 revisando as correções para garantir que nenhuma fraqueza adicional fosse introduzida.
“Essa avaliação do mais recente aplicativo ExpressVPN para iteração do macOS deixa uma impressão excepcionalmente sólida em relação à segurança”, escreve a Cure53 em seu relatório. “Em suma, a equipe da ExpressVPN merece um grande elogio por seus esforços para fornecer um cliente macOS excepcionalmente seguro. Apenas algumas pequenas melhorias são necessárias para elevar a postura de segurança da plataforma a um nível exemplar.”
Da mesma forma, a auditoria do nosso aplicativo Linux retornou uma pequena lista de problemas de segurança. Das cinco descobertas, havia duas vulnerabilidades de segurança e três fraquezas gerais com menor potencial de exploração; todas foram revisadas por nossa equipe interna. “A ausência de descobertas além de uma classificação Média é mais um forte indicador positivo da condição da premissa de segurança nos alvos do ExpressVPN Linux”, observa a Cure53.
Leia os relatórios de auditoria completos do macOS aqui e do Linux aqui.
O aplicativo Windows v12 da ExpressVPN está mais seguro do que nunca
A F-Secure realizou uma auditoria de segurança em nosso mais recente aplicativo para Windows (v12) de fevereiro de 2022 a março de 2022. A auditoria avaliou duas características importantes do aplicativo:
- O aplicativo não pode ser manipulado para vazar informações (como o endereço IP de um usuário) fora do túnel VPN
- O aplicativo não é suscetível a ataques de execução remota de código
Temos o prazer de compartilhar que a F-Secure não encontrou nenhuma fraqueza significativa. Os auditores independentes da F-Secure encontraram apenas um problema informativo em nosso aplicativo Windows v12, que não era explorável. O problema já foi corrigido, o que a F-Secure confirmou em um novo teste em abril de 2022.
Nenhum problema crítico, alto, médio ou pequeno foi encontrado. E, como em seu relatório anterior, a F-Secure nos deu uma excelente revisão, concluindo: “Não foi possível obter informações sobre os clientes da ExpressVPN ou fora do tráfego de rede. Também não foi possível executar o código remotamente por meio de ataques como Man-in-the-Middle (MitM), downgrading TLS ou injeção de pacotes.”
Leia o relatório do Windows v12 do F-Secure na íntegra.
O Windows v12 traz melhorias significativas na segurança e integração do aplicativo com o sistema operacional. Ele também vem com um backend redesenhado otimizado para o Lightway, nosso protocolo proprietário que criamos para garantir uma experiência VPN mais rápida, confiável e segura. Essas alterações abrem caminho para novas funcionalidades interessantes para nossos usuários do Windows, como Conexões Paralelas e Gerenciador de Ameaças. Tendo em vista essas atualizações, queríamos que a segurança do Windows v12 fosse verificada o mais rápido possível. Baixe a ExpressVPN para Windows (v12).
Nota: A v12 só está disponível para usuários do Windows 10 e acima
Nossa dedicação às verificações de privacidade e segurança de terceiros
Essas três novas auditorias de nossos aplicativos de desktop elevam o número total de auditorias publicadas da ExpressVPN para 11, garantindo que estamos fornecendo a experiência online mais segura possível para nossos usuários. Aqui estão nossas auditorias externas anteriores e avaliações de segurança:
- Uma auditoria da KPMG de nossa política de não manter registros (setembro de 2022)
- Uma auditoria de segurança da Cure53 do TrustedServer, nossa tecnologia interna de servidor VPN (maio de 2022)
- Uma auditoria de segurança da Cure53 do nosso roteador Aircove (julho de 2022)
- Uma auditoria de segurança da F-Secure do nosso aplicativo Windows v10 (março de 2022)
- Uma auditoria de segurança da Cure53 do nosso protocolo VPN Lightway (agosto de 2021)
- Uma auditoria da PwC Suíça sobre nosso processo de verificação de compilação (junho de 2020)
- Uma auditoria da PwC Suíça de nossa conformidade com a política de privacidade e nossa tecnologia interna TrustedServer (junho de 2019)
- Uma auditoria de segurança da Cure53 da extensão do nosso navegador (novembro de 2018)
Continuaremos mantendo nosso compromisso de realizar mais auditorias de terceiros e com maior frequência. É uma das muitas maneiras de garantir que nossos usuários desfrutem da experiência VPN mais segura.
*Mesmo que parte do conteúdo ainda esteja em seu idioma original, acreditamos ser relevante tê-lo no post, esperamos que você ainda possa aproveitá-lo.