افشای اطلاعات، از طریق چندین برنامه VPN رایگان iOS و اندروید

طبق تحقیقات جدید Zimperium zLabs، میلیون‌ها نفری که برای حفظ حریم خصوصی آنلاین خود به برنامه‌های رایگان شبکه خصوصی مجازی (VPN) موبایل متکی هستند، ممکن است داده‌های خود را در معرض خطر بیشتری قرار دهند. در مطالعه‌ای که بر روی نزدیک به ۸۰۰ برنامه VPN رایگان برای اندروید و iOS انجام شد، محققان دریافتند که بسیاری از آنها نه تنها در محافظت از کاربران شکست خوردند، بلکه در معرض تهدیدات جدی امنیتی و حریم خصوصی نیز قرار گرفته اند.

تیم zLabs کشف کرد که بخش قابل توجهی از این برنامه‌ها رفتارهای خطرناکی از خود نشان می‌دهند. برخی از آنها اطلاعات شخصی را فاش می‌کنند، در حالی که بسیاری دیگر "اصلاً هیچ حریم خصوصی واقعی ارائه نمی‌دهند." محققان خاطرنشان کردند که نگرانی اصلی، استفاده توسعه‌دهندگان از نرم‌افزارهای بسیار قدیمی و آسیب‌پذیر است.

به عنوان مثال، تجزیه و تحلیل ها نشان داده است که سه برنامه VPN هنوز از بخشی منسوخ شده از کتابخانه OpenSSL استفاده می‌کنند و آنها را در معرض یک اشکال نرم افزاری Heartbleed (CVE-2014-0160)  قرار می‌دهند. این نقص که در سال ۲۰۱۴ کشف شد، می‌تواند به یک مهاجم از راه دور اجازه دهد اطلاعات حساسی مانند کلیدهای مخفی، نام‌های کاربری و رمزهای عبور را بخواند.

حدود ۱٪ از برنامه‌ها در برابر حملات مرد میانی (MitM) آسیب‌پذیر بودند و به مهاجمان این امکان را می‌دادند که تمام ترافیک کاربر را رهگیری  کرده و بخوانند. انتشار یک برنامه با یک نقص ده ساله که اصلاحیه آن شناخته شده است، نشان‌دهنده عدم توجه جدی به امنیت است.

بررسی‌های بیشتر نشان داد که بسیاری از برنامه‌ها همچنین درخواست دسترسی قدرتمند و غیرضروری دارند، عملی که به عنوان سوءاستفاده از مجوز شناخته می‌شود. به عنوان مثال، درخواست یک برنامه VPN iOS برای دسترسی به موقعیت مکانی " always-on " (LOCATION_ALWAYS) معنی خاصی نمی دهد، چراکه وظیفه اصلی VPN تأمین امنیت ترافیک است، نه ردیابی موقعیت مکانی فیزیکی شما به صورت ۲۴ ساعته و ۷ روز هفته.

به طور مشابه، برخی از برنامه‌های اندروید درخواست خواندن تمام گزارش‌های سیستم (READ_LOGS) را داشتند که به آنها اجازه می‌داد نمایه کاملی از رفتار کاربر ایجاد کنند و در نتیجه به عنوان یک «کی‌لاگر پیشرفته» عمل کنند.

برخی از برنامه‌ها مجوزهایی مانند دسترسی به میکروفون، گزارش‌های سیستم یا ضبط صفحه نمایش رابط کاربری را درخواست می‌کردند و به ارائه‌دهنده برنامه، یک بردار نظارتی فراتر از عملکرد اعلام شده خود می‌دادند.

طبق پست وبلاگ Zimperium zLabs، محققان عدم شفافیت رایجی را در بین برنامه‌های بررسی شده خود یافتند که مانع از توانایی کاربران برای رضایت آگاهانه در مورد داده‌های جمع‌آوری شده می‌شد. حتی در فروشگاه App اپل، 25٪ از برنامه‌های VPN iOS فاقد یک مانیفست حریم خصوصی معتبر بودند، یک الزام اصلی که به منظور اطلاع‌رسانی به کاربران در مورد نحوه مدیریت داده‌های آنها در نظر گرفته شده است.

علاوه بر این، بیش از ۶٪ از این برنامه‌های iOS درخواست مجوزهای خصوصی داشتند، که مجوزهای قدرتمندی هستند که می‌توانند دسترسی عمیق به سیستم عامل را فراهم کنند و هرگز نباید در دسترس توسعه‌دهندگان شخص ثالث قرار گیرند.

برای شرکت‌هایی که به کارکنان اجازه می‌دهند از دستگاه‌های شخصی خود برای کار استفاده کنند، این VPNهای ناامن می‌توانند داده‌های حساس تجاری را در معرض خطر قرار دهند. در نهایت، وقتی صحبت از VPNهای رایگان موبایل می‌شود، آنچه که فرض می‌شود از حریم خصوصی شما محافظت می‌کند، در واقع ممکن است بزرگترین خطر برای داده‌های شما باشد.

Brandon Tarbet ، مدیر فناوری اطلاعات و امنیت در Menlo Security، گفت: «سازمان‌ها به یک پاسخ چند لایه نیاز دارند. قابلیت مشاهده و مدیریت Endpointها از اهمیت بالایی برخوردار است. برخی از سازمان‌ها ریسک را ارزیابی کرده و از طریق فهرست کردن مجوزهای برنامه با این موضوع مقابله می‌کنند، در حالی که برخی دیگر ممکن است رویکردی سهل‌گیرانه‌تر را ترجیح دهند. با این حال، آنچه به سرعت در حال تبدیل شدن به یک الزام است، نیاز به امنیت داده‌های سطح محتوای وب است.»

Tarbet تأکید کرد: « حفاظت از داده‌ها در سطح محتوا و بازاری که بتواند به اتصال خود به وب‌سایت‌ها و خدمات اعتماد کند، یک نیاز واقعی است.

منبع:

https://hackread.com/studyfree-ios-android-vpn-apps-leak-data