به گزارش کارگروه امنیت سایبربان ؛ پژوهشگران بهتازگی ارتباطات پنهانی میان چندین اپلیکیشن VPN که ظاهراً مستقل و جدا از هم به نظر میرسیدند، کشف کردهاند. این موضوع پرسشهای جدی درباره شفافیت این برنامهها و اعتماد کاربران به آنها ایجاد کرده است.
20 اپلیکیشن VPN که ناامن هستند
مطالعه جدید نشان میدهد که سه خانواده از کلاینتهای VPN وجود دارند که با وجود ظاهر غیرمرتبط در فروشگاههای اپلیکیشن، دارای کدها و زیرساختهای مشترک هستند. یافتهها حاکی از وجود آسیبپذیریهای امنیتی مشترک میان این اپلیکیشنهای شبکه خصوصی مجازی است که مجموع دانلودهای آنها بیش از 700 میلیون بوده است.
عدم افشای اطلاعات از سوی 21 اپلیکیشن پر دانلود VPN در فروشگاه گوگل پلی باعث شده کاربران تصور کنند در حال دانلود سرویسهای رقابتی و جداگانه هستند. این موضوع بازار VPN را که کاربران برای تصمیمگیری آگاهانه به شفافیت مالکیت و عملکرد سرویسدهندگان متکی هستند، دچار ابهام میکند.
سه خانواده پنهان اپلیکیشنهای VPN
محققان نعداد 100 ویپیان که بیشترین دانلود را در گوگل پلی استور داشتند، انتخاب کرد و تعداد آنها را به 50 مورد کاهش دادند که برخی از آنها پیش از این با روسیه و چین ارتباطاتی داشتهاند. آنها سپس اطلاعات مربوط به پروندههای تجاری و فایلهای APK اندروید را ترکیب کردند تا ارتباطات بین ارائهدهندگان را شناسایی کنند.
سه خانواده از ارائهدهندگان VPN شناسایی شدند:
خانواده A، شامل Innovative Connecting، Autumn Breeze و Lemon Clove، مسئول هشت اپلیکیشن VPN است. این خانواده شامل Turbo VPN، VPN Proxy Master و Snap VPN میشود، که همگی تقریباً کد، کتابخانهها و منابع یکسانی دارند.
خانواده B، شامل Matrix Mobile، ForeRaya Technology و Wildlook Tech، مسئول VPNهایی مانند XY VPN، 3X VPN و Melon VPN است. این اپلیکیشنها از پروتکلها و تکنیکهای مخفیسازی مشابه استفاده کرده و آدرسهای IP VPN مشترکی دارند.
خانواده C، شامل Fast Potato و Free Connected Limited، پشت Fast Potato VPN و X-VPN قرار دارند و همان پیادهسازی پروتکل اختصاصی و تکنیکهای مخفیسازی را به اشتراک میگذارند.
آسیبپذیریها و تهدیدات مشترک در میان VPNها
تحقیقات نشان داد چندین آسیبپذیری وجود دارد که امنیت و حریم خصوصی کاربران را به خطر میاندازد. بهطور مشخص، اپلیکیشنها دارای اطلاعات هاردکد شده Shadowsocks در فایل APK خود بودند. با توجه به استفاده گسترده از همان رمز عبور، مهاجمانی که این اطلاعات را استخراج کنند قادر به رمزگشایی ترافیک کاربران خواهند بود.
پژوهشگران همچنین چندین اپلیکیشن را شناسایی کردند که از رمزنگاریهای قدیمی یا ناامن برای Shadowsocks استفاده میکنند و حفاظت IV مناسبی ندارند. برای کاربران غیرمتخصص، این مسئله کارایی رمزنگاری را به شدت کاهش میدهد و درهای حملات رمزنگاری یا رمزگشایی را باز میکند.
هر سه خانواده VPN در برابر حملات blind on-path آسیبپذیر هستند. این حملات زمانی رخ میدهند که مهاجمی در همان شبکه، مانند وایفای عمومی، اطلاعاتی درباره اتصالهای فعال به دست آورد، حتی در حالی که تونل VPN فعال باشد.
فروشگاههای اپلیکیشن VPNها را بهدرستی بررسی نمیکنند
این مطالعه محدودیتهای سیستمهای تأیید فروشگاههای اپلیکیشن را برجسته میکند، زیرا این سیستمها بیشتر روی شناسایی بدافزار و نقض حریم خصوصی تمرکز دارند و بررسی نمیکنند چه کسی پشت نرمافزار VPN است و چگونه ساخته شده است.
با وجود اینکه سه خانواده VPN شناساییشده بیش از 700 میلیون دانلود دارند، گوگل پلی هر اپلیکیشن را به عنوان محصول مستقل در نظر گرفته و نتوانسته تلاشهای هماهنگ برای پنهان کردن مالکیت مشترک و آسیبپذیریهای امنیتی مشترک را شناسایی کند.
پژوهشگران اذعان دارند که بررسی توسعهدهندگان و شناسایی نرمافزار آسیبپذیر برای فروشگاههای اپلیکیشن دشوار است و پیشنهاد کردهاند نشانگر بررسی امنیتی برای اپلیکیشنهای VPN اجباری شود و همچنین ایده نشانگر تأیید هویت توسعهدهندگان مطرح شده است.
بدون اعمال اقدامات سختگیرانهتر برای بررسی اپلیکیشنها، همان آسیبپذیریهای کشفشده در این مطالعه به گسترش خود ادامه خواهند داد و کاربران VPN را در معرض خطر قرار میدهند.
