Forskare har packat upp 22 potentiella cybersäkerhetsproblem kring och intill Googles nya VPN, Google One VPN.
Av dessa farhågor steg bara tre till nivån “medium svårighetsgrad”, medan resten bedömdes som låg svårighetsgrad eller “informationsobservationer.”
Google har redan åtgärdat ett av de största problemen och några till, men den nya rapporten noterar att många av de flaggade problemen ännu inte har lösts. Google har verkligen en anständig meritlista för att ta säkerhetsbuggar på allvar (och till och med ledde anklagelsen vidare korrigera säkerhetsbranschen för öppen källkod nyligen), så vi förväntar oss att de tar itu med dessa problem förr snarare än senare.
Vilka är Google Ones VPN-säkerhetsproblem?
Google bad om själva rapporten, med hjälp av tredjepartsföretaget NCC Group, och gruppen har precis släppt hela rapporten 52-sidig offentlig rapport till alla online. Specifikt är det en teknisk komponentanalys och källkodsgranskning, och de 24 resultaten kan delas upp i tre olika kategorier:
- Tre fynd betygsatta medelsvår
- Tio fynd betygsatta låg svårighetsgrad
- Nio fynd betygsatta som informationsobservationer
Google har tagit itu med ett fynd från varje kategori, vilket lämnar totalt 19 kvar. Rapporten beskriver de tre främsta säkerhetsproblemen på medelnivå först.
Den största är redan fixad: Det skulle potentiellt ha lämnat Windows VPN-applikationen öppen för körning av någon med administratörsåtkomst snarare än starkare användarbegränsningar.
“Även om NCC Group inte hittade några mjukvarusårbarheter i denna applikation, kan potentiella osäkra kodningsmetoder resultera i en privilegieskaleringsattack. Det här problemet åtgärdades korrekt av Google under omtestet, och nu körs applikationen med användarrättigheter.” ~rapporten
De andra två medelriskfynden kvarstår fortfarande. Båda relaterar till inloggningsprocessen för både Windows- och MacOS-versionerna av VPN, och lämnar tjänsten öppen för att nekas tillgänglighet av “lokala skadliga applikationer” eller kan läcka en OAuth-token genom tillfälliga lokala portar.
Ska du använda Google One VPN?
Det finns många anledningar till varför dessa säkerhetsproblem verkar osannolikt att utgöra ett stort problem. För det första är Google väl medveten om dem alla, efter att ha engagerat NCC Group för att undersöka dem i första hand, och Google vet att det ligger i dess eget intresse att korrigera alla risker när det kommer till säkerhet och användarnas integritet.
Plus, inte ens de mer allvarliga säkerhetsproblemen som beskrivs ovan steg till nivån av hög eller kritisk svårighetsgrad, vilket är vanligt med VPN:er som Encrypt.me.
I slutändan är Google One VPN ungefär lika pålitlig som alla andra VPN på marknaden när det kommer till säkerhet. Som sagt, det finns en anledning till varför du kanske inte vill välja det: alla som använder Googles VPN kommer att kanalisera all sin internetaktivitet genom Google, en internetteknikjätte med en lång historia av att samla in data via tredje part spårningsprogramvara.
Om du är en integritetsmedveten typ är det förmodligen en av dina prioriteringar att hålla din aktivitet dold från ad-tech-duopolet Google och Facebook. För att utforska dina mindre VPN-alternativ samtidigt som du håller din internetanvändning säker, säker och snabb, har vi avrundade alla de bästa alternativen här.
