Proton科技近期宣布,它已开源旗下iOS版本ProtonMail软件的代码,旨在提高产品的可靠性和安全性。
而网络安全公司SEC Consult
表示已经审查了iOS版本ProtonMail的源代码,发现了七个低风险安全漏洞。
SEC Consult
在发表的报告中表示:“经过初步的代码审查,SEC Consult
在应用中发现了七个低风险漏洞。虽然在应用和后端服务之间的加密通信中发现了证书验证缺陷,但内部的端对端加密是无法破解的。”
研究人员发现的漏洞包括硬编码凭证、证书固定缺陷、帐户升级的非法绕过、调试消息的启用以及用户数据泄露。
除了源码,Proton还提供了一些说明文档,包括其iOS安全性和信任模型,这应该能帮助研究人员更容易地查看代码。
根据审计报告中的说法,Proton的开源加密库OpenPGPjs
和GopenPGP
已被第三方机构进行过审计。而在今年早些时候,Proton聘请了著名安全公司SEC Consult
对ProtonMail的iOS版本进行独立安全审计。在解决了所发现的安全漏洞后,开源了代码。若想了解更多信息,可以阅读完整的应用审计报告。
Proton今后也会致力于开源更多的软件代码,他们也聘请了大量第三方机构进行审查。
该公司解释说,开源可帮助开发人员更清晰的了解应用的内部逻辑和结构。这也会让网络安全社区帮助公司更好地解决软件所面临的安全挑战,让这个以隐私为重点的应用更安全、更稳定。
今年5月,电子邮件服务ProtonMail被指控自愿帮助执法部门进行实时监控。
5月10日,瑞士苏黎世州公共检察官兼网络犯罪能力中心负责人Stephan Walder在出席一项活动时发表了演讲,无意中提及ProtonMail自愿向执法机构提供监控帮助。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/93299/mobile-2/protonmail-ios-app-open-source.html