Obscura, la VPN open source che promette di proteggere la privacy degli utenti senza dover fidarsi di nessuno (nemmeno dei suoi sviluppatori), ha appena pubblicato i risultati del suo primo audit di sicurezza indipendente. A condurlo è stata Cure53, la stessa società tedesca che ha analizzato il codice di servizi come Mullvad, Bitwarden e Proton.

La notizia più importante? Non sono state trovate vulnerabilità gravi. I pochi problemi emersi erano bug minori che nel peggiore dei casi potevano far bloccare l’applicazione, ma senza mai esporre i dati degli utenti. Tutto è già stato sistemato, come riporta il team di Obscura in un post sul loro blog.

L’audit ha esaminato l’app per macOS, l’estensione di rete e il protocollo utilizzato. Cure53 ha descritto Obscura come “una soluzione per la privacy ben progettata, senza vulnerabilità significative nel suo modello di minaccia”.

Un’architettura che elimina la fiducia

Ciò che rende Obscura diversa dalle altre VPN è la sua architettura a due parti. In pratica, nessun singolo server può collegare un utente specifico al suo traffico internet. È una garanzia crittografica, non solo una promessa scritta su una pagina web.

Cure53 ha elogiato questa scelta, definendola “un importante traguardo architetturale” che elimina la necessità di fidarsi ciecamente del fornitore del servizio. Anche il codice ha ricevuto complimenti: gli esperti hanno notato la “qualità costantemente alta” e l’uso appropriato delle caratteristiche di sicurezza dei linguaggi utilizzati (Rust, Swift e TypeScript).

Il fatto che Obscura sia stata sviluppata in linguaggi che minimizzano i rischi legati alla gestione della memoria non è casuale. È una scelta deliberata per ridurre le possibilità di bug che potrebbero compromettere la sicurezza.

Trasparenza prima di tutto

Il codice sorgente di Obscura è pubblico su GitHub fin dal lancio. L’audit completo di Cure53 è disponibile per chiunque voglia leggerlo. Gli sviluppatori promettono di continuare con verifiche periodiche e di pubblicare sempre i risultati, anche quelli scomodi.

Vale la pena notare che Obscura al momento è disponibile solo per macOS, ma secondo quanto trapelato negli ultimi giorni, la prima versione alpha per Android dovrebbe arrivare a breve mentre per Windows ci sarà ancora da aspettare. Per chi cerca alternative alle VPN tradizionali e apprezza l’approccio open source, potrebbe essere una soluzione da tenere d’occhio.

Arriverà anche un articolo su Le Alternative dedicato proprio a Obscura VPN ma sto aspettando che esca la versione Android, almeno in alpha, per poterla vedere e provare prima di pubblicarlo.