Proton宣布将iOS版本ProtonMail的代码开源

Proton科技近期宣布，它已开源旗下iOS版本ProtonMail软件的代码，旨在提高产品的可靠性和安全性。

而网络安全公司SEC Consult表示已经审查了iOS版本ProtonMail的源代码，发现了七个低风险安全漏洞。

SEC Consult在发表的报告中表示：“经过初步的代码审查，SEC Consult在应用中发现了七个低风险漏洞。虽然在应用和后端服务之间的加密通信中发现了证书验证缺陷，但内部的端对端加密是无法破解的。”

研究人员发现的漏洞包括硬编码凭证、证书固定缺陷、帐户升级的非法绕过、调试消息的启用以及用户数据泄露。

除了源码，Proton还提供了一些说明文档，包括其iOS安全性和信任模型，这应该能帮助研究人员更容易地查看代码。

根据审计报告中的说法，Proton的开源加密库OpenPGPjs和GopenPGP已被第三方机构进行过审计。而在今年早些时候，Proton聘请了著名安全公司SEC Consult对ProtonMail的iOS版本进行独立安全审计。在解决了所发现的安全漏洞后，开源了代码。若想了解更多信息，可以阅读完整的应用审计报告。

Proton今后也会致力于开源更多的软件代码，他们也聘请了大量第三方机构进行审查。

该公司解释说，开源可帮助开发人员更清晰的了解应用的内部逻辑和结构。这也会让网络安全社区帮助公司更好地解决软件所面临的安全挑战，让这个以隐私为重点的应用更安全、更稳定。

今年5月，电子邮件服务ProtonMail被指控自愿帮助执法部门进行实时监控。

5月10日，瑞士苏黎世州公共检察官兼网络犯罪能力中心负责人Stephan Walder在出席一项活动时发表了演讲，无意中提及ProtonMail自愿向执法机构提供监控帮助。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/93299/mobile-2/protonmail-ios-app-open-source.html