Produkt

Usługa Malwarebytes Privacy VPN kompleksowy audyt przeprowadzony przez niezależną firmę

autor: Malwarebytes Labs | 2 kwietnia 2026 r.
Ilustracja przedstawiająca serwery z widocznym VPN Azire VPN

Dla osób ostrożnych VPN klienta korzystającego z VPN tak wiele zależy od obietnicy dotyczącej prywatności, składanej zbyt często przez firmę bez dowodów.  

Polityka nieprzechowywania logów, nowoczesne algorytmy szyfrowania, rezygnacja z przechowywania poufnych danych klientów oraz pełna własność serwerów to tylko niektóre z cech, które składają się na solidną sieć VPN. Są to jednak te same cechy, którychpotwierdzenie często jest niemożliwe dlapojedynczego klienta.  

Właśnie dlatego tak ważne jest, aby VPN poddawali się audytom przeprowadzanym przez niezależne podmioty, które umożliwiają zewnętrznym ekspertom ds. bezpieczeństwa sprawdzenie oprogramowania i sprzętu opracowanego i wdrożonego przez firmę w celu świadczenia VPN . Podobnie jak inspekcja domu, która ujawnia oznaki uszkodzeń, audytVPN ujawnia luki w zabezpieczeniach, które mogą występować w jednym z najważniejszych obecnie rozwiązań technologicznych zapewniających prywatność.  

Jesteśmy więc dumni, że wzięliśmy udział w naszym pierwszym w historii audycie przeprowadzonym przez niezależną firmę, dotyczącyminfrastruktury obsługującej obecnie zarównoMalwarebytes Privacy VPN AzireVPN– dwa VPN , które obsługujemy i utrzymujemy. Ta podwójna struktura jest wynikiemprzejęcia przez nasfirmy AzireVPN pod koniec 2024 roku. Oba produkty wykorzystują to samo oprogramowanie i sprzęt serwerowy, aby zapewnić klientom VPN i usługi szyfrowania.

W wyniku kontroli oprogramowania Malwarebytes Privacy VPNstwierdzono, że:  

  • 2 problemy oznaczone jako „krytyczne” 
  • 0 problemów oznaczonych jako „Wysokie”  
  • 2 zgłoszenia oznaczone jako „Średnie” 
  • 2 problemy oznaczone jako „Niskie”  

W ramach audytu określono poziom zagrożenia — od krytycznego do niskiego — poprzez przypisanie ocen technicznych zgodnych ze Standard  CVSS Standard Common Vulnerability Scoring Standard ). Ten powszechnie stosowany w branży system jest wykorzystywany przez badaczy zajmujących się bezpieczeństwem na całym świecie do oceny poziomu zagrożenia związanego z lukami wykrytymi w oprogramowaniu, sprzęcie i oprogramowaniu układowym. Im wyższa liczba, tym poważniejsza luka.  

Zgodnie z raportem końcowym:  

„Ogólnie rzecz biorąc, systemy charakteryzują się wysokim poziomem bezpieczeństwa i są dobrze przygotowane do ochrony prywatności użytkowników; wydają się zapewniać dobry poziom bezpieczeństwa w porównaniu z systemami o podobnej wielkości i złożoności. Podczas naszej oceny nie stwierdziliśmy żadnych oznak rejestrowania aktywności użytkowników, a dostęp do systemów jest ściśle kontrolowany – nie ma żadnych niepotrzebnych, narażonych na zagrożenia punktów dostępu zdalnego, lokalnego ani SSH. Chociaż zidentyfikowano pewne luki w zabezpieczeniach, większość z nich została już usunięta, w tym jedna luka o krytycznym znaczeniu, a pozostałe kwestie są w trakcie rozwiązywania”.

Jak potwierdzili audytorzy, nasi inżynierowie usunęli już jedną lukę o poziomie zagrożenia „krytycznym”, dwie luki o poziomie „średnim” oraz jedną lukę o poziomie „niskim”. Nasz zespół aktywnie pracuje również nad usunięciem jednej pozostałej luki o poziomie krytycznym oraz jednej pozostałej luki o poziomie niskim w stosie oprogramowania.

Kwestie 

W programie X41 D-Sec wykryto dwa poważne problemy. 

Pierwsza poważna luka, której przyznano ocenę CVSS wynoszącą 9,4, dotyczy początkowej konfiguracji i działania serwerów Malwarebytes przez Malwarebytes w ramach jej VPN.  

Podczas podłączania nowego serwera do sieci Malwarebytes mu pobranie i zainstalowanie tzw. „obrazu Debiana”. Jest to po prostu plik do pobrania, który instaluje system operacyjny Debian na fizycznym sprzęcie komputerowym. Proces ten powtarza się codziennie niezliczoną ilość razy w całym świecie informatycznym, umożliwiając szybkie, niezawodne i rozproszone wdrażanie maszyn w sieci.  

Naukowcy odkryli, że chociaż obraz systemu Debian został pobrany z bezpiecznego adresu URL, to podpis niewielkiego fragmentu zweryfikowanych danych – tzw. sumy kontrolnej – nie został zweryfikowany przy użyciu klucza podpisującego płyty CD Debiana.  

W świecie oprogramowania podpisy mają kluczowe znaczenie, ponieważ potwierdzają, że program pobrany na urządzenie jest rzeczywiście tym samym programem, który został opublikowany przez jego twórcę. Bez odpowiedniej weryfikacji podpisu osoba atakująca mogłaby dostarczyć zmodyfikowaną wersję programu i mimo to przekonać komputer, że jest to wersja autentyczna.  

Zdajemy sobie sprawę z powagi tej luki i wprowadziliśmy już odpowiednią poprawkę.

Druga poważna luka, której przyznano ocenę CVSS wynoszącą 9,3, dotyczy również działania VPN Malwarebytespodczas uruchamiania systemu.  

Aby nawiązać połączenie, VPN Malwarebyteswykorzystują środowisko PXE (Preboot Execution Environment) dla systemu Linux, które umożliwia przesyłanie i instalację plików rozruchowych przez sieć – w przeciwieństwie do uruchamiania systemu z plików lokalnych. Badacze zajmujący się bezpieczeństwem ostrzegli, że proces ten „nie posiada żadnej formy podpisu kryptograficznego, więc atak typu „Man in the Middle” może doprowadzić do wykonania kodu atakującego w systemie klienta”.  

Taki atak wymagałby fizycznego dostępu do serwerów w naszych centrach danych. Niemniej jednak zdajemy sobie sprawę z powagi tej luki i pracujemy nad jej usunięciem.

Pozostałe cztery luki ujawniły możliwość przeprowadzenia ataków typu replay, nadużycia funkcji przekierowania portów, obserwowalności ruchu sieciowego oraz istnienia oracle'a wypełniającego, który przy wystarczającej wytrwałości może zostać wykorzystany. Trzy z tych luk – dotyczące ataków typu replay, obserwowalności ruchu sieciowego oraz oracle'a wypełniającego – zostały już usunięte, a nasz zespół pracuje obecnie nad rozwiązaniem ostatniej z nich.  

Przejrzysta prywatność 

Istnieje powszechne przekonanie, że dbanie o prywatność w sieci oznacza, że ma się coś do ukrycia. Dla VPN , takiego jak Malwarebytes, rzeczywistość wygląda zupełnie inaczej: pomagamy użytkownikom chronić ich prywatność w sieci, wskazując im obszary, w których możemy się poprawić. 

Nie każda firma poddaje się audytowi zewnętrznemu i nie każda firma byłaby skłonna udostępnić wyniki takiego audytu. W rzeczywistości, według doniesień, 77% Android wykazywało poważne braki w zakresie przejrzystości i odpowiedzialności– fakt ten rzadko jest ujawniany przez same dostawców VPN.

Jednak w tych działaniach – i dla nas – najważniejsze nie jest ego. Najważniejsza jest Twoja prywatność. Mamy nadzieję, że dzięki tym wynikom będziesz mógł podjąć lepszą i bardziej świadomą decyzję dotyczącą tego, komu możesz powierzyć swój ruch internetowy i aktywność w sieci.  

Malwarebytes firmie X41 D-Sec, zajmującej się testami penetracyjnymi, za przeprowadzenie audytu, a także badaczom ds. bezpieczeństwa, którzy brali w nim udział: Djamalowi Touazi, JM, Markusowi Vervierowi, Robertowi Femmerowi i Ericowi Sesterhennowi.  

Pełny raport z audytu można przeczytać poniżej.

X41-DSec-Audyt-AzireVPN-PublicznyPobierz

Przeglądaj, jakby nikt nie patrzył. 

Malwarebytes Privacy VPN Twoje połączenie i nigdy nie rejestruje Twojej aktywności, dzięki czemu kolejna przeczytana przez Ciebie wiadomość nie będzieCię osobiście dotykać.Wypróbuj za darmo → 

O autorze

Malwarebytes Labs

Malwarebytes Labs

NAJNOWSZE ARTYKUŁY

Aktualności
Test DNA

Dane medyczne 500 000 brytyjskich ochotników wystawiono na sprzedaż w serwisie Alibaba

Kwiecień 24, 2026

Pomimo rygorystycznych środków kontroli dostępu dane medyczne pół miliona ochotników z UK Biobank trafiły do sprzedaży na platformie Alibaba.

Naruszenia danych
rzucić kostką danych

Jak cyberataki na firmy wpływają na wszystkich

Kwiecień 23, 2026

Przyglądamy się, w jaki sposób cyberprzestępczość wymierzona w firmy wpływa na nas wszystkich, a zwłaszcza na ich klientów.

Błędy
Powiadomienia na iPhonie

Apple naprawiło iOS , który powodował, że usuwane powiadomienia, w tym podglądy czatów, pozostawały w pamięci

Kwiecień 23, 2026

Luka w zabezpieczeniach iPhone'ów i iPadów umożliwiła organom ścigania odzyskanie usuniętych powiadomień, w tym podglądów wiadomości z aplikacji Signal.

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa