Turvatarkastus 2025 cure53:n toimesta
Turvallisuus on aina ollut Psonon toiminnan ytimessä. Siksi olemmekin innoissamme voidessamme julkaista tulokset tuoreimmasta tietoturvatarkastuksestamme, jonka toteutti arvostettu kyberturvallisuusyritys Cure53. Heidän kattava white-box-penetraatiotestinsä ja lähdekoodin auditointinsa keskittyivät Psonon selainlaajennuksiin (Chrome, Firefox, Edge), tausta-APIin sekä niihin liittyviin päätepisteisiin.
“Sovelluksen laajamittainen PyNaCl:n käyttö varmistaa tehokkaan tietojen käsittelyn ja salauksen.”
— Cure53:n tietoturvaraportti, maaliskuu 2025
Mitä auditointi kattoi
Auditointi kattoi neljä tarkasti määritettyä työpakettia (WP), jotka arvioivat Psonon sekä asiakas- että palvelinpuolen osia:
- WP1–WP3: Chrome-, Firefox- ja Edge-laajennukset
- WP4: Taustajärjestelmän API ja päätepisteet
Cure53:n tiimillä oli täysi pääsy lähdekoodiimme, dokumentaatioon ja sisäisiin resursseihin. Kahdentoista päivän aikana heidän viiden hengen tiiminsä arvioi huolellisesti infrastruktuurimme tietoturvaa.
Havaintoja ja korjauksia
Yhteensä kahdeksan tietoturvaan liittyvää ongelmaa tunnistettiin, vakavuudeltaan matalasta korkeaan:
- 0 kriittistä ongelmaa
- 1 korkean vakavuusasteen ongelma
- 3 keskitasoista ongelmaa
- 4 vähäistä tai sekalaista ongelmaa
Kaikki haavoittuvuudet on jo korjattu ja Cure53 on varmistanut niiden korjaamisen. Tarpeen mukaan olemme lisäksi ottaneet käyttöön muita turvatoimia, kuten CSP:t (Content Security Policy), protokollien validoinnin, riippuvuuksien päivitykset sekä turvallisemman automaattisen täytön käytännöt.
Täyden löydösluettelon yksityiskohtaisine teknisine tietoineen sekä korjauskommentteineen löydät Cure53:n julkisesta raportista, joka on linkitetty alle.
Miksi tämä on tärkeää
Avoimuus tietoturvakäytännöistämme vahvistaa käyttäjiemme luottamusta Psonoon. Avoimen lähdekoodin projektit hyötyvät suuresti julkisesta tarkastelusta – ja me toivotamme sen tervetulleeksi.
Olemme ylpeitä siitä, että raportissa tunnustetaan nykyisten tietoturvatoimiemme vahvuus. Erityisesti on huomionarvoista, että monien havaittujen ongelmien vaikutukset oli alun perin jo lievennetty suunnittelun kautta, esimerkiksi API-avainten käyttöoikeuksilla ja tiukalla CSP:n soveltamisella.
Lataa koko raportti
Voit lukea Cure53:n koko raportin täältä:
