Una delle migliori VPN in circolazione, ExpressVPN, ha deciso di mettere alla prova le sue misure di tutela della sicurezza e della privacy degli utenti.
Tra la primavera e l'estate del 2022, il provider ha fatto ricorso a due società di revisione indipendenti per verificare l'affidabilità delle sue applicazioni desktop in tre audit di sicurezza. Subito dopo, un controllo separato ha verificato l’efficacia del software sia come VPN per iPhone che come VPN per Android, nonché l'affidabilità del suo password manager ExpressVPN Keys.
Ora, in un continuo sforzo di trasparenza, gli esperti di Cure53 sono stati chiamati a valutare il protocollo Lightway di ExpressVPN per la seconda volta in due anni. Nonostante alcuni bug minori, che il provider ha dichiarato di aver già risolto, Cure53 si è dichiarata soddisfatta dei risultati.
12 test in 12 mesi
“Con quest'ultima serie di prove, ExpressVPN ha completato e pubblicato 12 audit condotti da soggetti esterni all’azienda nel corso del 2022, che hanno riguardato tutte le nostre app per mobile e desktop, la nostra politica sulla privacy e le tecnologie utilizzate”, ha dichiarato un portavoce di ExpressVPN a TechRadar.
Questa volta a essere testato è stato ExpressVPN Lightway, il protocollo VPN open-source che il provider ha sviluppato per conto proprio.
I test sono stati condotti da Cure53 tra ottobre e novembre 2022. Gli esperti hanno valutato tutti i componenti del protocollo, compresi il server, il client Lightway e le librerie condivise, sia con un test di penetrazione che con un audit dedicato del codice sorgente. Una serie di test white-box è stata la metodologia scelta per portare avanti l'audit.
Cure53 ha identificato un totale di nove problemi. Tra questi, solo tre sono stati classificati come vulnerabilità di sicurezza a basso livello di sfruttamento: “Chiaramente, il numero complessivo di problemi riscontrati è moderato e può essere interpretato come un buon segno per la sicurezza dei componenti Lightway ispezionati”, si legge nel rapporto finale di Cure53.
Gli esperti hanno anche sottolineato la disponibilità del team di ExpressVPN che, durante il periodo di valutazione, ha fornito risposte rapide e accurate ogni volta che è stato richiesto. Ancora meglio, si dice che il provider abbia risolto tutti i problemi e che questi siano già stati verificati da Cure53 nel febbraio 2023.
