این ۲۰ اپلیکیشن VPN ناامن هستند؛ اطلاعات ۷۰۰ میلیون نفر لو رفت

به گزارش کارگروه امنیت سایبربان ؛ پژوهشگران به‌تازگی ارتباطات پنهانی میان چندین اپلیکیشن VPN که ظاهراً مستقل و جدا از هم به نظر می‌رسیدند، کشف کرده‌اند. این موضوع پرسش‌های جدی درباره شفافیت این برنامه‌ها و اعتماد کاربران به آن‌ها ایجاد کرده است.

20 اپلیکیشن VPN که ناامن هستند

مطالعه جدید نشان می‌دهد که سه خانواده از کلاینت‌های VPN وجود دارند که با وجود ظاهر غیرمرتبط در فروشگاه‌های اپلیکیشن، دارای کدها و زیرساخت‌های مشترک هستند. یافته‌ها حاکی از وجود آسیب‌پذیری‌های امنیتی مشترک میان این اپلیکیشن‌های شبکه خصوصی مجازی است که مجموع دانلودهای آن‌ها بیش از 700 میلیون بوده است.

عدم افشای اطلاعات از سوی 21 اپلیکیشن پر دانلود VPN در فروشگاه گوگل پلی باعث شده کاربران تصور کنند در حال دانلود سرویس‌های رقابتی و جداگانه هستند. این موضوع بازار VPN را که کاربران برای تصمیم‌گیری آگاهانه به شفافیت مالکیت و عملکرد سرویس‌دهندگان متکی هستند، دچار ابهام می‌کند.

سه خانواده پنهان اپلیکیشن‌های VPN

محققان نعداد 100 وی‌پی‌ان که بیشترین دانلود را در گوگل پلی استور داشتند، انتخاب کرد و تعداد آنها را به 50 مورد کاهش دادند که برخی از آنها پیش از این با روسیه و چین ارتباطاتی داشته‌اند. آن‌ها سپس اطلاعات مربوط به پرونده‌های تجاری و فایل‌های APK اندروید را ترکیب کردند تا ارتباطات بین ارائه‌دهندگان را شناسایی کنند.

سه خانواده از ارائه‌دهندگان VPN شناسایی شدند:

• خانواده A، شامل Innovative Connecting، Autumn Breeze و Lemon Clove، مسئول هشت اپلیکیشن VPN است. این خانواده شامل Turbo VPN، VPN Proxy Master و Snap VPN می‌شود، که همگی تقریباً کد، کتابخانه‌ها و منابع یکسانی دارند.

• خانواده B، شامل Matrix Mobile، ForeRaya Technology و Wildlook Tech، مسئول VPNهایی مانند XY VPN، 3X VPN و Melon VPN است. این اپلیکیشن‌ها از پروتکل‌ها و تکنیک‌های مخفی‌سازی مشابه استفاده کرده و آدرس‌های IP VPN مشترکی دارند.

• خانواده C، شامل Fast Potato و Free Connected Limited، پشت Fast Potato VPN و X-VPN قرار دارند و همان پیاده‌سازی پروتکل اختصاصی و تکنیک‌های مخفی‌سازی را به اشتراک می‌گذارند.

آسیب‌پذیری‌ها و تهدیدات مشترک در میان VPNها

تحقیقات نشان داد چندین آسیب‌پذیری وجود دارد که امنیت و حریم خصوصی کاربران را به خطر می‌اندازد. به‌طور مشخص، اپلیکیشن‌ها دارای اطلاعات هاردکد شده Shadowsocks در فایل APK خود بودند. با توجه به استفاده گسترده از همان رمز عبور، مهاجمانی که این اطلاعات را استخراج کنند قادر به رمزگشایی ترافیک کاربران خواهند بود.

پژوهشگران همچنین چندین اپلیکیشن را شناسایی کردند که از رمزنگاری‌های قدیمی یا ناامن برای Shadowsocks استفاده می‌کنند و حفاظت IV مناسبی ندارند. برای کاربران غیرمتخصص، این مسئله کارایی رمزنگاری را به شدت کاهش می‌دهد و درهای حملات رمزنگاری یا رمزگشایی را باز می‌کند.

هر سه خانواده VPN در برابر حملات blind on-path آسیب‌پذیر هستند. این حملات زمانی رخ می‌دهند که مهاجمی در همان شبکه، مانند وای‌فای عمومی، اطلاعاتی درباره اتصال‌های فعال به دست آورد، حتی در حالی که تونل VPN فعال باشد.

فروشگاه‌های اپلیکیشن VPNها را به‌درستی بررسی نمی‌کنند

این مطالعه محدودیت‌های سیستم‌های تأیید فروشگاه‌های اپلیکیشن را برجسته می‌کند، زیرا این سیستم‌ها بیشتر روی شناسایی بدافزار و نقض حریم خصوصی تمرکز دارند و بررسی نمی‌کنند چه کسی پشت نرم‌افزار VPN است و چگونه ساخته شده است.

با وجود اینکه سه خانواده VPN شناسایی‌شده بیش از 700 میلیون دانلود دارند، گوگل پلی هر اپلیکیشن را به عنوان محصول مستقل در نظر گرفته و نتوانسته تلاش‌های هماهنگ برای پنهان کردن مالکیت مشترک و آسیب‌پذیری‌های امنیتی مشترک را شناسایی کند.

پژوهشگران اذعان دارند که بررسی توسعه‌دهندگان و شناسایی نرم‌افزار آسیب‌پذیر برای فروشگاه‌های اپلیکیشن دشوار است و پیشنهاد کرده‌اند نشانگر بررسی امنیتی برای اپلیکیشن‌های VPN اجباری شود و همچنین ایده نشانگر تأیید هویت توسعه‌دهندگان مطرح شده است.

بدون اعمال اقدامات سختگیرانه‌تر برای بررسی اپلیکیشن‌ها، همان آسیب‌پذیری‌های کشف‌شده در این مطالعه به گسترش خود ادامه خواهند داد و کاربران VPN را در معرض خطر قرار می‌دهند.