ExpressVPN 通过 3 项新的独立审核确认其桌面应用程序的安全性

我们的用户相信我们每天都能保护他们的数字生活。 我们赢得信任的方法之一是定期聘请独立的网络安全专家来评估我们的产品并验证我们的安全声明的准确性。

今天我们很高兴分享三项新的审计,涵盖所有 ExpressVPN的桌面应用程序。 我们委托 Cure53 对我们的 macOS 和 Linux 桌面客户端执行渗透测试和源代码审计。 F-Secure 还被委托通过渗透测试和源代码审计来审查我们的 Windows v12 应用程序,就在几个月后 它对我们之前的 Windows 应用程序 (v10) 的审核.

我们对审计结果以及我们与两家网络安全公司的长期合作感到高兴。 今天,我们很高兴与您分享更多审计发现和见解。

“作为我们持续信任和透明度努力的一部分,我们很自豪地宣布,我们所有的桌面应用程序现在都已经过审核,”说 Brian Schirmacher,渗透测试经理 ExpressVPN. “这些审计证明了我们为改进和保护我们的产品所做的努力,我们很高兴收到 Cure53 和 F-Secure 的验证。 我们致力于尽快对我们的移动应用程序进行审核,并将继续确保我们产品每个接触点的隐私和安全。”

Cure53 验证我们的 macOS 和 Linux 应用程序的安全性

Cure53 在 2022 年 6 月至 2022 年 8 月期间通过白盒渗透测试和源代码审计对我们的 macOS 和 Linux 桌面应用程序进行了测试。这些评估有助于确定我们的应用程序是否足够安全以抵御来自恶意对手的安全攻击,并验证了广泛的我们的工程和安全专家完成的工作。

他们在我们的 macOS 应用程序中发现了少量问题,仅发现了两个安全漏洞和四个信息漏洞,利用潜力较低。 我们迅速解决了所有相关发现,Cure53 审查了修复程序以确保没有引入额外的弱点。

“总而言之,本次评估的最新 ExpressVPN macOS 迭代应用程序在安全性方面留下了非常可靠的印象,”Cure53 在他们的报告中写道。 “总而言之, ExpressVPN 团队为提供异常安全的 macOS 客户端所做的努力值得高度赞扬。 只需进行一些小的强化改进,即可将平台的安全状况提升到堪称典范的水平。”

同样,我们的 Linux 应用程序的审计返回了一个简短的安全问题列表。 在五个发现中,有两个安全漏洞和三个具有较低利用潜力的一般弱点,所有这些漏洞都经过了我们的内部团队的审查。 “没有超过中等级别的调查结果是另一个强有力的积极指标,表明安全前提条件在 ExpressVPN Linux 目标,”Cure53 指出。

阅读 macOS 的完整审计报告 这里 和 Linux 这里.

ExpressVPN的 Windows v12 应用程序比以往更安全

F-Secure 于 2022 年 2 月至 2022 年 3 月对我们最新的 Windows 应用程序 (v12) 进行了安全审计。审计评估了该应用程序的两个重要功能:

  1. 该应用程序不能被操纵以在 VPN 隧道之外泄漏信息(例如用户的 IP 地址)
  2. 该应用程序不易受到远程代码执行攻击

我们很高兴分享 F-Secure 没有发现任何明显的弱点。 F-Secure 的独立审计员在我们的 Windows v12 应用程序中只发现了一个信息问题,这是不可利用的。 该问题已得到修复,F-Secure 在 2022 年 4 月的重新测试中证实了这一点。

未发现严重、高、中或次要问题。 而且,正如在他们之前的报告中一样,F-Secure 对我们进行了出色的审查,得出的结论是:“无法获得有关 ExpressVPN的客户端或出网络流量。 也不可能通过中间人 (MitM)、TLS 降级或数据包注入等攻击远程执行代码。”

完整阅读 F-Secure 的 Windows v12 报告。

Windows v12 为应用程序的安全性和与操作系统的集成带来了重大改进。 它还带有针对 Lightway 优化的重新设计的后端,这是我们为更快、更可靠、更安全的 VPN 体验而构建的专有协议。 这些变化为我们的 Windows 用户带来令人兴奋的新功能铺平了道路,例如 并联连接威胁管理器. 鉴于这些底层升级,我们希望尽快验证 Windows v12 的安全性。 下载 ExpressVPN 适用于 Windows (v12)。

注意:v12 仅适用于 Windows 10 及更高版本的用户

我们致力于第三方隐私和安全验证

这三项针对我们桌面应用程序的新审核带来了 ExpressVPN的已发布审核至 11,确保我们为用户提供最安全的在线体验。 以下是我们之前的外部审计和安全评估:

  • 一个 审计 毕马威关于我们的无日志政策(2022 年 10 月)
  • 一个 安全审计 作者:TrustedServer 的 Cure53,我们的内部 VPN 服务器技术(2022 年 10 月)
  • 一个 安全审计 作者:Aircove 路由器的 Cure53(2022 年 9 月)
  • 一个 安全审计 我们的 Windows v10 应用程序的 F-Secure(2022 年 3 月)
  • 一个 安全审计 作者:我们的 VPN 协议 Lightway 的 Cure53(2021 年 8 月)
  • 一个 审计 普华永道瑞士关于我们的构建验证流程(2020 年 6 月)
  • 一个 审计 普华永道瑞士关于我们的隐私政策合规性和我们的内部技术 TrustedServer(2019 年 6 月)
  • 一个 安全审计 通过我们浏览器扩展的 Cure53(2018 年 11 月)

我们将继续坚持我们的承诺,以更高的频率进行更多的第三方审计。 这是我们确保用户享受最安全的 VPN 体验的众多方式之一。