A settembre 2025 Tor Project ha rilasciato TorVPN in beta su Android, la sua prima applicazione VPN ufficiale per dispositivi mobili. Meno pubblicizzato, ma altrettanto rilevante: qualche mese prima, a giugno 2025, aveva già commissionato a Cure53 un audit completo del codice. I risultati sono stati pubblicati qualche giorno fa sul blog ufficiale, con il report integrale allegato.

L’analisi ha coinvolto sei specialisti per due settimane, con pieno accesso ai sorgenti, e ha coperto due componenti distinte. La prima è l’app Android vera e propria, che si occupa di instradare il traffico del dispositivo attraverso la rete Tor. La seconda è Onionmasq, il layer di rete scritto in Rust che gestisce la risoluzione DNS, il parsing del traffico TCP e UDP e la connessione con Arti, la riscrittura moderna del protocollo Tor.

// affiliato ▸ Infomaniak VPS · Potenza cloud, controllo totale · Configura la tua VPS →

Cosa emerge dal report

In totale Cure53 ha identificato diciotto segnalazioni. Solo quattro sono vulnerabilità sfruttabili in senso stretto; le restanti quattordici riguardano suggerimenti di rafforzamento e buone pratiche. La valutazione di fondo è positiva: l’integrazione con il nucleo Tor è robusta, il tunnel funziona correttamente sia in fase di stabilimento che di instradamento, e l’architettura modulare limita la propagazione di eventuali compromissioni.

Le aree più problematiche sono due. La prima riguarda i controlli sugli input, cioè i meccanismi che verificano la correttezza dei dati prima di elaborarli: in più punti risultano incompleti, e Cure53 li indica come priorità. La seconda riguarda la gestione del DNS, il sistema che traduce i nomi dei siti in indirizzi di rete. TorVPN usa un client DNS interno per evitare che le richieste di un’app siano visibili alle altre, ma questo componente presenta alcune debolezze che in condizioni particolari potrebbero essere usate per mandare in tilt l’applicazione.

La segnalazione più grave, classificata come “High”, riguarda un difetto di gestione della memoria in Onionmasq che potrebbe essere sfruttato per leggere dati al di fuori delle aree consentite. Le altre segnalazioni sono più di contorno: i bridge per aggirare la censura vengono selezionati con una casualità insufficiente, alcune impostazioni vengono salvate sul dispositivo senza cifratura, e mancano alcune protezioni standard delle app Android moderne.

Un approccio corretto

Tor Project conferma che tutte le segnalazioni sono tracciate e in fase di risoluzione. Vale la pena notare che l’audit è stato condotto prima ancora del lancio beta pubblico: una scelta che riflette un approccio responsabile allo sviluppo, tutt’altro che scontato in un settore dove le app VPN vengono spesso rilasciate con pochissima trasparenza sulla sicurezza.

TorVPN resta software sperimentale, sconsigliato per scenari ad alto rischio. Il report completo di Cure53 è disponibile direttamente sul sito del Tor Project per chi vuole entrare nel dettaglio tecnico.