Cure53 測試了甚麼
NordVPN 在2025 年委託 Cure53 進行了一次廣泛的安全評估,評估內容涵蓋我們的應用程式和基礎架構。Cure53 是一家總部位於德國的滲透測試公司,擁有超過 15 年的軟件測試經驗。
審計人員進行了一系列白盒與灰盒滲透測試,以及廣泛的源代碼審查。十九位資深測試人員與我們的工程師緊密合作,並獲得了測試所需的所有材料的完全訪問權限。評估在 2025 年 5 月、6 月和 10 月進行,整個項目歷時數十個工作日。
評估範圍觸及多個不同的 NordVPN 範疇,其中包括:
- Android、iOS、Windows、macOS 及 Linux 應用程式。
- Chrome、Edge 及 Firefox 的瀏覽器擴展功能。
- 威脅防護功能組件,包括惡意軟件掃描及網絡過濾。
- NordAccount 身分驗證及多重因素驗證流程。
- VPN、威脅防護功能、Meshnet 及帳戶服務的核心 API。
- VPN 伺服器及支援基礎架構。
- 伺服器環境內的容器化服務、驗證邏輯及內部存取控制。
Cure53 的審計發現了甚麼
儘管審計範圍相對廣泛,Cure53 在整個評估過程中並未發現任何關鍵性漏洞。雖然審計人員確實指出了幾個需要關注的高嚴重性項目,但所有已識別的問題現已全部修復,並且每個項目都已經 Cure53 驗證確認運作正常。其餘的發現屬於中等到參考性質(對用戶安全不構成威脅,但可以幫助我們加強內部防護的低影響事項)。這些發現在此規模的安全審查中十分常見。除了這些發現,審計人員也特別指出了服務表現出色的幾個領域。
安全的客戶端應用程式
審計顯示,我們的應用程式在所有主要平台上均遵循嚴格的安全實踐。在流動裝置上,Android 和 iOS 應用程式實施了嚴格的保安措施,包括安全的數據儲存、受控的 WebView 使用、生物特徵保護及裝置綁定。在桌面平台上,審計人員注意到安全的進程間通訊設計、穩健的防火牆邏輯,以及對深度連結和文件操作的適當驗證。
強大的身份驗證及帳戶保護
系統在 Cure53 的測試中也表現優異,顯示了安全的令牌處理、一致的輸入驗證,以及對 PKCE 等行業標準的正確使用。審計人員確認,會話隔離及狀態驗證有助於防止常見的身份驗證繞過嘗試。
結構良好且可靠的 API
後端 API 顯示出強大的存取控制執行、全面的輸入淨化,以及對敏感操作的安全處理。包括推薦系統、訂閱流程及網狀網絡API 在內的核心組件,在詳細測試下均能按預期運作。
穩健的威脅防護功能邏輯
Cure53 審計了惡意軟件檢測組件,指出基於哈希和機器學習的方法均十分安全。審計人員並未識別出能夠繞過掃描引擎或流量過濾機制的方法。
安全且具韌性的基礎架構
當 Cure53 檢查我們的伺服器環境時,他們確認我們的 VPN 伺服器經過適當的強化設置,並採用限制性防火牆規則及強大的容器隔離。審計人員得出的結論是,NordVPN 的整體強化策略為伺服器安全性奠定了堅實的基礎。
NordVPN 的處理方案
在 Cure53 提交其發現結果後,我們的工程師立即開始改進服務。首先處理了被標記為最緊急的事項,其後 Cure53 確認了糾正工作按預期運作。目前我們也解決了其餘項目,或與審計人員一同審查,以確保我們已有的防護措施仍然合適。
部分審查結果屬於已知限制或已接受的風險——變更組件可能會引發新的複雜問題,卻無法提升實際安全性。因此,我們與Cure53共同確認現有防護措施依然有效。
NordVPN 用戶可以通過其帳戶或以下連結查閱兩份完整的評估報告:
App security assessment reportInfrastructure security assessment report
持續保障 NordVPN 安全
安全性是需要持續投入的領域,例如,今次進行的定期審查有助我們及早識別潛在問題,並避免了新的網絡威脅。因此,我們將繼續投放資源強化 NordVPN,包括進行獨立安全審計,並在可行範圍內持續完善基礎架構。
安全工作永無終點,每一次新的評估都能協助我們進一步提升服務的安全性。最新的 Cure53 測試結果顯示,NordVPN 的應用程式與系統依然十分安全,我們將持續優化各項服務,回報所有信賴我們的用戶。在此,我們亦衷心感謝 Cure53 整個團隊在此次評估期間所付出的全面努力與專業合作。他們的豐富經驗與專業知識,正是我們堅持維護 NordVPN 安全承諾的堅實後盾。
