Cure53-sikkerhedsrevision finder, at VNC Connect Remote Access-tjenesten er stærk og stabil med hensyn til sikkerhedsprofil
CAMBRIDGE, England–(BUSINESS WIRE)–VNC Connect by RealVNC, fjernadgangstjenesten, der bruges af hundredvis af millioner mennesker verden over, blev revideret af Cure53, det Berlin, Tyskland-baserede IT-sikkerhedskonsulentfirma, som også har revideret anden brancheførende software som Mozilla VPN, 1Password og Bitwarden. Den omfattende revision, som tog 86 persondage og omfattede VNC Server og VNC Viewer på Linux, Windows og Mac, VNC Viewer til iOS og Android, VNC Connect-administrationsportalen og backend-tjenester, fandt 38 sikkerhedsrelevante opdagelser, hvoraf ingen var kritiske og kun tre blev anset for at være alvorlige, og disse blev rettet med det samme. Rapporten siger afslutningsvis, at RealVNC har et stærkt fokus på sikkerheden i alle sine komponenter.
“Som de teknologer, der er ansvarlige for at bringe fjernadgang ud på massemarkedet, sætter vi i dag nye standarder og forventninger til sikkerhed i lyset af udfordringerne i det moderne IT-miljø. IT-købere af fjernadgangsteknologier bør forvente intet mindre end uafhængig og omfattende tredjepartsvalidering af leverandørernes påstande. Dette gælder især for software til fjernadgang, hvor der er meget på spil, og en fejl kan skade omdømmet eller endda være truende. Med Cure53’s rapport kan købere være sikre på, at de aldrig vil fortryde at vælge RealVNC som deres leverandør af fjernadgang,” siger Adam Greenwood-Byrne, CEO for RealVNC.
En white box security audit er betydeligt mere dybdegående end den mere almindelige black box penetrationstest (som RealVNC også får udført af en ekstern organisation hvert år), da auditorerne har adgang til al kildekode, binære filer og API/protokol-dokumentation. Af de 38 sårbarheder, der blev fundet på tværs af den testede software og de testede tjenester, er 32 blevet korrekt adresseret – med rettelserne bekræftet af Cure53 – mens de andre seks blev markeret som enten falske alarmer eller fungerer efter hensigten og vurderet til at være af lavere risiko.
“Hos RealVNC arbejder vi ud fra det synspunkt, at ingen virksomhed nogensinde bør tage en leverandørs ord for gode varer, når de hævder, at deres software er sikker, og derfor valgte vi at gennemføre en white box-audit med et højt anset sikkerhedskonsulentfirma for at bevise det,” siger Andrew Woodhouse, CIO hos RealVNC.
Cure53-teamet er meget motiveret for at finde sårbarheder, når de gennemfører white box-penetrationstests. Det faktum, at der ikke blev fundet nogen kritiske trusler, styrker RealVNC’s fokus på at sikre, at deres kunder forbliver beskyttet mod trusler, når de bruger VNC Connect.
“Cure53 er glade for at kunne sige, at testforberedelse, testudførelse og også verificeringen af rettelserne, som er en af de vigtigste dele af en sådan audit, gik glat og professionelt. Det er tydeligt, at RealVNC har vist en ægte interesse i at sikre VNC Connects sikkerhed og er forberedt og engageret i at opretholde de høje standarder, vi har observeret,” siger Dr.-Ing. Mario Heiderich, grundlægger af Cure53.
RealVNC har hovedkvarter i Cambridge, og virksomhedens produkter til stationære, mobile og indlejrede platforme gør det nemt for brugerne at få adgang til og betjene enheder på afstand, samtidig med at fjernbrugere kan samarbejde med teknikere om at løse problemer nemt.
“Vi viger ikke tilbage for nogen af de problemer, rapporten fandt. Vi har aktivt løst problemerne, efterhånden som de opstod, og da trusselsbilledet hele tiden ændrer sig, vil vi fortsætte med at sikre VNC Connects sikkerhed i fremtidige versioner af tjenesten,” siger Ben May, chef for cybersikkerhed hos RealVNC.
Klik her for at se Cure53’s sammenfatning af revisionen, Klik her, og for at læse mere om, hvorfor RealVNC valgte at gennemføre en Cure53-audit, Klik her.
OM REALVNC
RealVNC’s sikre software til Remote Access og -administration bruges af flere hundrede millioner mennesker verden over. Deres software hjælper organisationer med at reducere omkostningerne og forbedre kvaliteten af support til eksterne enheder og applikationer samt muliggøre fjernarbejde. RealVNC er den oprindelige, britisk-baserede opfinder af VNC Remote Access-software, og de understøtter en uovertruffen blanding af desktop-, mobil- og indlejrede platforme.
OM CURE53
Cure53 tilbyder klassiske black-box penetrationstests (zero-knowledge) såvel som white-box tests og kodeaudits. Udviklere af webapplikationer og mobilapps taler mange sprog, og det gør vi også. Fra klassiske sprog som PHP, JavaScript, ActionScript, Java, Ruby, Python og Perl til mere eksotiske kandidater som web-backends skrevet i C++ og Delphi – vi har set dem.
Siden Cure53 blev grundlagt i 2007, har vi udført hundredvis af penetrationstests mod alle slags webapplikationer, onlinetjenester, hardwaregrænseflader, mobilapplikationer, biblioteker og kryptoværktøjer. Vi værdsætter manuelle og grundige tests, menneskelig interaktion og kommunikation og en kort, men præcis penetrationstestrapport uden overhead eller cirkeldiagrammer, som ingen ønsker at se.
