Nachdem ExpressVPN erst vor etwa einem Monat bestätigt hatte, drei unabhängige Sicherheitsaudits bestanden zu haben, hat es gerade die Ergebnisse weiterer Tests seiner Software veröffentlicht.
Auch diese letzten Audits scheint der Anbieter mit voller Punktzahl bestanden zu haben.
Dieses Mal wurden Cybersicherheitsexperten von Cure53 hinzugezogen, um die mobilen ExpressVPN-Apps zu bewerten. Das eigene Passwort-Manager-Tool ExpressVPN Keys – das sowohl mit seinen iOS- als auch mit seinen Android-Apps ohne zusätzliche Kosten geliefert wird – wurde ebenfalls auf Schwachstellen getestet.
Trotz einiger kleinerer Fehler, die der Anbieter bereits behoben haben soll, war Cure53 zufrieden mit den Ergebnissen und dem Engagement des ExpressVPN-Teams bei der Bekämpfung „vieler Probleme, mit denen moderne VPN-Anwendungen konfrontiert sind“.
„Sorgfältige Bemühungen zur Minimierung potenzieller Bedrohungen“
„Alles in allem verdient das Entwicklungsteam großes Lob für seine sorgfältigen Bemühungen, potenzielle Bedrohungen für die iOS-Anwendung zu minimieren, wobei nur geringfügige Anpassungen erforderlich sind, um die Plattform aus Sicherheitssicht auf einen vorbildlichen Standard zu heben“, schloss die Wirtschaftsprüfungsgesellschaft auf Ihrer iOS-Prüfbericht (öffnet in neuem Tab).
Ein ähnliches Ergebnis beendete die Android-Prüfbericht (öffnet in neuem Tab), auch. Gleichzeitig freute sich Cure53 über den Zugang und die Zusammenarbeitsgewährung des Anbieters während des gesamten Prozesses.
Teams aus drei und fünf erfahrenen Testern führten zwischen August 2022 und September 2022 White-Box-Tests und Quellcode-Audits an den iOS- und Android-Apps von ExpressVPN durch. Diese sollten feststellen, ob die mobilen Apps von ExpressVPN externen Angriffen erfolgreich standhalten können.
Zum ersten Mal wurde auch ExpressVPN Keys getestet, um sicherzustellen, dass es die Anmeldedaten der Benutzer korrekt sichert.
Beide Audits deckten nur eine Handvoll kleiner Schwachstellen auf, aber mit sehr geringem Risiko für die Daten der Benutzer.
Konkret identifizierten die iOS-Audits insgesamt neun Probleme. Von diesen wurden nur vier als Sicherheitslücken mit niedrigem und mittlerem Risiko eingestuft. Die verbleibenden fünf wurden als „allgemeine Schwächen mit geringerem Verwertungspotenzial“ bezeichnet.
Während die Android-Tests insgesamt 13 Schwachstellen offenbarten. Auch hier wurden nur drei der Funde als Sicherheitslücken mit niedrigem oder mittlerem Schweregrad eingestuft.
Wie Cure53 jedoch berichtete: „Die überwiegende Mehrheit der Ergebnisse sind Variationen gängiger Fehlkonfigurationen, die häufig in Android-Anwendungen vorhanden sind. Diese positive Sichtweise wird auch durch die Tatsache bestätigt, dass keine der oben genannten Schwachstellen direkt missbraucht werden kann, um erfolgreiche Angriffe durchzuführen.“
Auch der eigene Passwort-Manager von ExpressVPN erhielt positives Feedback und machte „insgesamt einen soliden Eindruck“.
Diese neuesten Tests erhöhen die Gesamtzahl der veröffentlichten unabhängigen VPN-Audits von ExpressVPN seit 2018 auf 13. Darüber hinaus ist auch eine Sicherheitsbewertung der Browsererweiterung ExpressVPN Keys in Vorbereitung.
„Wir erkennen den wachsenden globalen Bedarf an digitalem Datenschutz und Sicherheitsschutz“, sagte Brian Schirmacher, Penetration Testing Manager bei ExpressVPN. „Audits durch angesehene Cybersicherheitsunternehmen wie Cure53 sind eine unserer vielen Vertrauens- und Transparenzinitiativen. Wir wollen dies weiter vorantreiben Messlatte für die Branche hoch.“