Besplatni VPN-ovi ugrožavaju privatnost milijuna ljudi

  • Neovisna istraživanja otkrivaju ozbiljne nedostatke i neprozirnost brojnih besplatnih VPN-ova za iOS i Android.
  • Zloupotrebljiva dopuštenja, slaba enkripcija i zastarjele biblioteke izlažu podatke povredama i MITM napadima.
  • Nedavni slučajevi uključuju neispravne aplikacije s preko 100 milijuna preuzimanja i kampanje zlonamjernog softvera prikrivene kao VPN-ovi.
  • Za smanjenje rizika: izbjegavajte besplatne VPN-ove, provjerite No-Logs revizije, dozvole i sigurnosne protokole.
anavarro

6 minuta

Rizici besplatnih VPN-ova

Virtualne privatne mreže postale su omiljeno mjesto mnogih korisnika za skrivanje IP adresa i zaobilaženje geoblokada, ali kada je usluga besplatna, račun često dolazi u obliku podataka. Nekoliko nedavnih analiza pokazuje da Besplatni VPN-ovi mogu ugroziti privatnost i sigurnost onih koji ih instaliraju, često bez da oni toga budu svjesni.

Problem nije ni izoliran ni malen: otkriveni su Tehnički problemi, neprozirni poslovni modeli i nametljive dozvole potencijalno utječući na milijune ljudi. Stručnjaci za kibernetičku sigurnost upozoravaju da se „besplatno“ financira prikupljanje i iskorištavanje informacija, agresivne reklamne integracije ili čak opasnije prakse.

Što su istraživači otkrili

Privatnost i besplatni VPN

Tehničko izvješće tvrtke Zimperium zLabs ispitalo je gotovo 800 VPN aplikacija mobilni telefoni, podjednako podijeljeni između iOS-a i Androida, i pronašli su ponavljajući obrazac: loša privatnost, nepotrebna dopuštenja i kod s poznatim ranjivostima.

Nalazi uključuju da 25% iOS VPN-ova nema valjanu politiku privatnosti i da oko 6% traži privilegirana dopuštenja koja im ne bi trebala biti potrebna. Osim toga, utvrđeno je da su starije verzije OpenSSL-a pogođene Heartbleed (CVE-2014-0160) i slučajeve netočnih validacija certifikata, što otvara vrata napadi tipa "čovjek u sredini" (MITM).

Utjecaj nadilazi osobnu upotrebu: u radnim okruženjima s osobnim uređajima, loše održavani VPN-ovi mogu postati slaba karika u korporativnoj sigurnosti (BYOD), izlažući osjetljive podatke zbog loše higijene razvoja i održavanja.

Paralelno s tim, Izvješće o transparentnosti VPN-a Fonda za otvorenu tehnologiju analiziralo je 32 komercijalna pružatelja usluga i otkrilo ozbiljne probleme u popularnim uslugama kao što su TurboVPN, VPN Proxy Master, XY VPN ili 3X VPN – Glatko pregledavanje, neki s više od 100 milijuna preuzimanjaMeđu prijavljenim praksama, korištenje tehnologija kao što su Shadowsocks predstavljena kao jaka enkripcija, iako nije dizajnirana za tu svrhu.

Stručnjaci iz Kasperskyja naglašavaju da mnogi besplatni VPN-ovi rade kao "mamac" privući korisnike koji vjeruju: iza toga može biti bilo što, od masovne monetizacije podataka do iskorištavanje uređaja u botnetima, kao što je dokumentirano u prethodnim incidentima.

Uobičajene prakse u besplatnim VPN-ovima

Sigurnost u besplatnim VPN-ovima

  • Pretjerana dopuštenja: Na Androidu, zahtjevi poput READ_LOGS ili AUTHENTICATE_ACCOUNTS daju pristup sistemskim zapisnicima i upravljanju računima; na iOS-u se vidi pozadinska geolokacija i pristup lokalnoj mreži bez jasnog opravdanja.
  • Registracija i prodaja podataka: Model „besplatno i neograničeno“ obično se temelji na telemetrija, traseri i ugovore s trećim stranama za monetizaciju prometa ili čak propusnost korisnika.
  • Slaba ili simulirana enkripcija: zastarjele biblioteke (ranjivi OpenSSL) i loše validacije certifikata dopustiti MITM napade i curenje informacija.
  • Pravna neprozirnost: nepotpune ili odsutne politike privatnosti i nedostatak vanjske revizije za provjeru obećanja poput politike zabrane zapisivanja.

U nekim slučajevima pokušaji korištenja privatne dozvole na iOS-u, duboki pristup sistemskim funkcijama koje nadilaze javne API-je. Iako ih sustav ne odobrava uvijek, sam zahtjev je već signal alarma.

Slučajevi i brojke koje zabrinjavaju

Studije o besplatnim VPN-ovima

Nedavna anketa NordVPN-a u Ujedinjeno Kraljevstvo označava da 12% korisnika i dalje se oslanja na besplatne usluge, unatoč činjenici da je opća razina znanja o VPN-ovima otprilike 80%Među razlozima su uštede i potraga za brzim rješenjima za specifične potrebe.

Stručnjaci ukazuju na dodatne rizike: dobavljači s državne veze neprozirni, slabi protokoli koji korisnike ostavljaju nevjernima Javni Wi-Fi i ocjene trgovina aplikacija koje daju prednost jednostavnosti korištenja nad jamstvima privatnosti. Kada je obećano "besplatno i neograničeno", stvarnost je obično monetizacija podataka, preprodaja propusnosti ili agresivna prodaja dodatnih usluga.

Nekoliko tehničkih analiza dokumentiralo je upotrebu zastarjele biblioteke trećih strana, uključujući rezidualnu prisutnost Heartbleeda i probleme prikvačivanje certifikata koji olakšavaju MITM napade. To su osnovni nedostaci koji ne bi trebali postojati u softveru dizajniranom za zaštitu komunikacija.

Tome se dodaje i slučaj Mobdro Pro IP TV + VPN, aplikacija koja se širila izvan Google Playa i djelovala je kao instalacijski program bankarskog trojanca KloopatraPomoću društvenog inženjeringa napadači su dobili dozvole od Usluge pristupačnosti preuzeti kontrolu nad uređajem, ukrasti vjerodajnice i upravljati računima; dokumentirano je oko 3.000 zaraženih i korištenje dvaju botneta za njegovo širenje.

Dodatni rizici na Androidu i iOS-u

Rizici na iOS-u i Androidu s besplatnim VPN-om

Na Androidu neki VPN klijenti traže ČITANI_ZAPISNICI (čitanje zapisa) i AUTHENTICATE_RAČUNE (upravljanje računima i tokenima). Dozvole poput ove mogu otvoriti vrata curenje osjetljivih podataka već detaljno mapiranje aktivnosti korisnika. bočno opterećenje Također povećava izloženost zlonamjernim kampanjama.

Na iOS-u su uočeni zahtjevi za trajna lokacija i pristup do lokalne mreže koji vam omogućuju tiho skeniranje obližnjih uređaja. Ovom problemu doprinosi i nedostatak transparentnosti: neke od analiziranih aplikacija nije uključio odgovarajuću izjavu o privatnosti, što sprječava informirani pristanak.

Neispravna validacija certifikata i nedostatak pričvršćivanje certifikata Gotovina olakšava napade tipa "čovjek u sredini", degradirajući navodno "sigurnu vezu" u ranjiv kanal. Ako tome dodamo zastarjeli kriptografski kod, rizik se multiplicira.

Za tvrtke s BYOD politikama, loš VPN može biti operativni rizik: : Dovoljan je samo jedan ranjivi klijent da bi vjerodajnice, komunikacije ili korporativni podaci bili otkriveni.

Preporuke za mudru navigaciju

Kako odabrati sigurne VPN-ove

Opći obrazac stručnjaka je jasan: izbjegavajte besplatne VPN-ovePostoje rijetke iznimke, s javnim revizijama, ali one nisu norma. Kako bi se smanjili rizici, preporučljivo je odlučiti se za usluge s revidirana politika zabrane zapisivanja, pravna transparentnost i neovisne recenzije.

  • Provjerite revizije i nadležnost: Tražite vanjsku potvrdu sustava No-Logs, objavite jasne pravne odgovornosti i politike zadržavanja podataka.
  • Provjerite dozvole prije prihvaćanja: poriče geolokacija u pozadini i pristup lokalnoj mreži ako nisu opravdani. Budite oprezni sa zahtjevima koji nisu svrha VPN-a.
  • Zahtjev za moderno šifriranje: daje prioritet protokolima kao što su WireGuard ili OpenVPN i izbjegavajte "proxyje" koji se prodaju kao šifriranje.
  • Instalirajte samo iz službenih trgovina: Izbjegavajte neprovjerene izvore i čitajte Izjava o privatnosti detaljno; potražite neovisne bijele knjige i recenzije.
  • Ispravno konfigurirajte aplikaciju: Aktivirajte vlastiti kill switch i DNS, ograničite telemetriju i zadržite klijenta ažurirana.

Prikupljeni dokazi ostavljaju malo mjesta sumnji: kada usluga obećava zaštitu bez ikakvih troškova, stvarna uplata je često vaši podaciIzmeđu tehničkih ranjivosti, neprozirnih politika i zlouporabnih dopuštenja, besplatni VPN-ovi mogu izložiti milijune; educiranje, pregled svakog dopuštenja i odabir revidiranih i transparentnih pružatelja usluga najbolji je način da se zaštitite. zaštitite svoju privatnost bez iznenađenja.

opasnosti korištenja javnih Wi-Fi mreža
Povezani članak:
Opasnosti korištenja javnih Wi-Fi mreža: kako zaštititi svoj Mac