ExpressVPN 发布外部安全审计和开源浏览器扩展

这篇文章最初发表于 2019 年 1 月 28 日。

从外面看,大多数锁看起来都一样。 有些人可能会抵抗采摘或碰撞,有些人可能会被加强以抵抗演习,但你永远不会仅仅通过观察就知道。 要识别最强的锁,您需要尝试自己挑选它,请锁匠对其进行测试,或者甚至将其拆开以检查设计。

VPN有点像这样。 所以虽然我们有信心 ExpressVPN 提供行业领先的安全性和隐私性,我们知道从外部可能不容易分辨。

不过,我们希望您像我们一样自信,因此我们致力于为您提供您需要亲自查看的信息。 这就是为什么我们发布了开源泄漏测试工具——有点类似于提供开锁工具——并在过去一年中详细概述了我们的安全实践。

今天,我们宣布了两项新的信任和透明度举措,进一步让每个人都能够验证我们是否兑现了我们的承诺:独立的、公开发布的安全审计和开源 ExpressVPN 浏览器扩展。

Cure53 放 ExpressVPN对测试的安全声明

独立的第三方测试是关键要素 ExpressVPN的安全方法,我们定期聘请安全审计员和渗透测试员。 过去,我们使用这些审核来加强我们服务的安全性,但随着 VPN 行业的发展,我们也开始看到发布结果的重要性,这是我们对信任和透明度的承诺的一部分。 为此,我们今天发布了我们的第一个独立的公共安全审计——众多审计中的第一个。

对于这次审计,我们邀请了受人尊敬的网络安全公司 Cure53 对我们的浏览器扩展进行彻底的安全审查,为其专家提供对源代码和构建的完全访问权限。 一个由四名 Cure53 测试人员组成的团队在 2018 年 10 月的 7 天内评估了扩展程序的安全和隐私保护,然后在 11 月中旬跟进以确认任何已发现的问题都已得到修复。

根据 Cure53 的独立报告, 在公司网站上公开,“本次 Cure53 评估的结果 ExpressVPN 浏览器扩展 Chrome 是积极的,2018 年 11 月中旬的修复验证过程证实了这一点。”

在调查中,Cure53 确定了 8 个问题,其中没有一个问题的严重程度高于“中等”。 Cure53 指出,“很清楚, 这是一个很好的安全指标。”

在这些问题中,三个被标记为“中等”,两个“低”,三个“信息”。 ExpressVPN的工程团队迅速处理了这些发现,Cure53 在审计中对此进行了验证。 Cure53 进一步指出,“需要强调的是,没有任何安全问题允许 [attackers] 发现通过恶意网页或类似方式影响 VPN 连接的状态。” 换句话说, 没有发现从根本上影响核心安全和隐私 保护 ExpressVPN 提供。

我们很高兴这次审计再次确认并加强了我们浏览器扩展的安全性,我们期待在不久的将来分享进一步的独立审查。

开源让任何人都可以查看我们的代码

除了审核之外,我们还发布了源代码 ExpressVPN 开源许可证(GNU 通用公共许可证,版本 2)下的浏览器扩展。 这使您或任何第三方能够执行与 Cure53 进行的相同类型的评估。

我们这样做的一个原因源于扩展的工作方式。 扩展程序需要大量权限才能运行,其中一些权限在您的浏览器请求时可能看起来令人担忧。 (为了 example,一项权限警告说,该扩展程序可以“读取和更改您访问的网站上的所有数据。”)

这些权限对于提供 VPN 的所有隐私和安全功能以及额外的好处(例如恶意软件保护)是必需的。 通过开源我们的扩展程序,我们邀请任何人深入了解并确认我们正在负责任地使用这些权限,并且仅出于我们给出的原因。

查看最新版本的源代码 ExpressVPN 浏览器扩展,见 我们的 GitHub 页面.

我们对 VPN 行业的信任和透明度的承诺

我们今天宣布的是我们寻求的两个最新步骤,不仅表明我们对安全和隐私的承诺,而且有助于树立 VPN 行业的信任和透明度标准。

正如我们在去年与民主与技术中心发起一项跨行业倡议以提高所有 VPN 的标准时所指出的那样,我们相信任何有助于互联网用户在选择 VPN 时做出更明智的决定的事情最终都会使互联网更加私密和对所有人来说都是安全的。

随着我们继续设计更好的新方法来保护在线隐私和安全,我们期待发布更多审计、工具和见解,使您能够自行查看和决定哪个 VPN 可以提供所需的保护。

编者注: 2019 年 8 月 2 日
根据我们继续发布更多独立审计的承诺,我们最近邀请普华永道验证我们的 VPN 服务器是否符合我们的隐私政策并审计我们的 TrustedServer 技术。 要了解更多信息并阅读完整的普华永道审计报告,请参阅我们的完整公告博客文章。