در حالیکه VPN قرار است امنیت و حریم خصوصی شما را تضمین کند، یک گزارش تازه نشان میدهد بسیاری از پرطرفدارترین اپلیکیشنهای اندروید در این حوزه نهتنها امن نیستند، بلکه میتوانند تهدیدی جدی برای کاربران باشند.
پژوهشگران پروژه «ارتباطات آزاد و باز در اینترنت» (FOCI) در گزارشی جدید فاش کردهاند که شمار زیادی از اپلیکیشنهای مشهور VPN در اندروید، با وجود نام، لوگو و طراحی متفاوت، در حقیقت به یک شرکت چینی واحد وابستهاند. این برنامهها تاکنون بیش از ۷۰۰ میلیون بار از گوگلپلی دانلود شدهاند؛ آماری که ابعاد نگرانیها را بسیار گستردهتر میکند.
برخی از این VPNهای رایگان در میان کاربران ایرانی نیز بسیار محبوب هستند، به همین دلیل خطرات امنیتی آنها متوجه کاربران کشورمان هم میشود.
ردیابی کاربران VPNهای مجانی چینی
طبق بررسیها، تقریباً همه برنامههای جدول زیر در نهایت به شرکت بحثبرانگیز Qihoo 360 بازمیگردند؛ شرکتی که پیشتر هم به دلیل ارتباط با دولت چین مورد تردید بود.
| دسته | اسم توسعه دهنده | اسم برنامه | تعداد دانلود |
|---|---|---|---|
| A | Innovative Connecting | Turbo VPN | 100,000,000+ |
| A | Innovative Connecting | Turbo VPN Lite | 50,000,000+ |
| A | Innovative Connecting | VPN Monster | 10,000,000+ |
| A | Lemon Clove | VPN Proxy Master | 100,000,000+ |
| A | Lemon Clove | VPN Proxy Master – Lite | 10,000,000+ |
| A | Autumn Breeze | Snap VPN | 50,000,000+ |
| A | Autumn Breeze | Robot VPN | 10,000,000+ |
| A | Autumn Breeze | SuperNet VPN | 1,000,000+ |
| B | MATRIX MOBILE PTE LTD | Global VPN | 10,000,000+ |
| B | MATRIX MOBILE PTE LTD | XY VPN | 100,000,000+ |
| B | Super Z VPN (Privacy & Proxy) | Super Z VPN | 10,000,000+ |
| B | The Tool Tech | Touch VPN-Stable & Secure | 50,000,000+ |
| B | Fruit Security Studios | VPN ProMaster-Secure your net | 50,000,000+ |
| B | Fruit Security Studios | 3X VPN – Smooth Browsing | 100,000,000+ |
| B | WILDLOOK TECH PTE. LTD. | VPN Inf | 10,000,000+ |
| B | WILDLOOK TECH PTE. LTD. | Melon VPN – Secure Proxy VPN | 50,000,000+ |
| C | FreeConnectedLimited | X-VPN | 50,000,000+ |
| C | Fast Potato ptd ltd | Fast Potato VPN | 10,000,000+ |
| Other | Mizcon LLC | Tetra VPN | 1,000,000+ |
| Other | Super VPN Inc | VPN – Super Unlimited Proxy | 100,000,000+ |
| Other | Secure Signal Inc | Secure VPN Safer Internet | 100,000,000+ |
محققان این اپلیکیشنها را به سه گروه تقسیم کردهاند. گروه اول (شامل اپهایی مثل Turbo VPN و VPN Proxy Master) تقریباً از کدها، کتابخانهها و حتی رمزهای از پیش تعریفشده یکسانی استفاده میکنند. این رمزها در پروتکل Shadowsocks به کار میروند و میتوانند برای رهگیری ترافیک کاربران مورد سوءاستفاده قرار گیرند. گروه دوم نیز صرفاً به Shadowsocks متکی است و همان مشکل را دارد. گروه سوم از پروتکل اختصاصی استفاده میکند اما ساختار و عملکردش بسیار شبیه دو گروه دیگر است و کدهای آن برای جلوگیری از مهندسی معکوس بهشدت مبهمسازی شدهاند.
مهمترین ضعف مشترک این اپها ردیابی موقعیت مکانی کاربران، رمزگذاری ضعیف دادهها و استفاده از کلیدهای رمزنگاری ثابت است. این مشکلات عملاً امنیت و ناشناسماندن وعده دادهشده توسط VPN را بیاثر میکند و حتی میتواند به شنود کامل ترافیک اینترنت منجر شود.
پژوهشگران هشدار دادهاند ثبت پنهانی موقعیت مکانی، نقض آشکار اعتماد و حریم خصوصی است و استفاده از رمزهای مشترک، این برنامهها را از نظر فنی به ابزاری در حد بدافزار نزدیک میکند. همچنین تأکید شده است که پنهانکاری در مالکیت این اپلیکیشنها باعث شده میلیونها کاربر بدون اطلاع، دادههای حساس خود را در اختیار یک شرکت واحد قرار دهند. این در حالی است که Qihoo 360 به دلیل ارتباط نزدیک با دولت چین از مدتها پیش در حوزه امنیت سایبری زیر ذرهبین بوده است.
مشکل اصلی اینجاست که در حالیکه بیشتر شرکتها تلاش میکنند یک برند معتبر و قابل اعتماد بسازند، شرکت چینی مورد بحث رویکردی متفاوت در پیش گرفته و اپلیکیشنهای VPN مجانی خود را با نامها و هویتهای گوناگون عرضه کرده است که پرسشهای زیادی را به ذهن متبادر میسازد. این واقعیت در کنار رمزنگاری ضعیف و ردیابی موقعیت مکانی کاربر، بسیار نگران کننده به نظر میرسد.
در حالیکه VPN قرار است امنیت و حریم خصوصی شما را تضمین کند، یک گزارش تازه نشان میدهد بسیاری از پرطرفدارترین اپلیکیشنهای اندروید در این حوزه نهتنها امن نیستند، بلکه میتوانند تهدیدی جدی برای کاربران باشند.
پژوهشگران پروژه «ارتباطات آزاد و باز در اینترنت» (FOCI) در گزارشی جدید فاش کردهاند که شمار زیادی از اپلیکیشنهای مشهور VPN در اندروید، با وجود نام، لوگو و طراحی متفاوت، در حقیقت به یک شرکت چینی واحد وابستهاند. این برنامهها تاکنون بیش از ۷۰۰ میلیون بار از گوگلپلی دانلود شدهاند؛ آماری که ابعاد نگرانیها را بسیار گستردهتر میکند.
برخی از این VPNهای رایگان در میان کاربران ایرانی نیز بسیار محبوب هستند، به همین دلیل خطرات امنیتی آنها متوجه کاربران کشورمان هم میشود.
ردیابی کاربران VPNهای مجانی چینی
طبق بررسیها، تقریباً همه برنامههای جدول زیر در نهایت به شرکت بحثبرانگیز Qihoo 360 بازمیگردند؛ شرکتی که پیشتر هم به دلیل ارتباط با دولت چین مورد تردید بود.
| دسته | اسم توسعه دهنده | اسم برنامه | تعداد دانلود |
|---|---|---|---|
| A | Innovative Connecting | Turbo VPN | 100,000,000+ |
| A | Innovative Connecting | Turbo VPN Lite | 50,000,000+ |
| A | Innovative Connecting | VPN Monster | 10,000,000+ |
| A | Lemon Clove | VPN Proxy Master | 100,000,000+ |
| A | Lemon Clove | VPN Proxy Master – Lite | 10,000,000+ |
| A | Autumn Breeze | Snap VPN | 50,000,000+ |
| A | Autumn Breeze | Robot VPN | 10,000,000+ |
| A | Autumn Breeze | SuperNet VPN | 1,000,000+ |
| B | MATRIX MOBILE PTE LTD | Global VPN | 10,000,000+ |
| B | MATRIX MOBILE PTE LTD | XY VPN | 100,000,000+ |
| B | Super Z VPN (Privacy & Proxy) | Super Z VPN | 10,000,000+ |
| B | The Tool Tech | Touch VPN-Stable & Secure | 50,000,000+ |
| B | Fruit Security Studios | VPN ProMaster-Secure your net | 50,000,000+ |
| B | Fruit Security Studios | 3X VPN – Smooth Browsing | 100,000,000+ |
| B | WILDLOOK TECH PTE. LTD. | VPN Inf | 10,000,000+ |
| B | WILDLOOK TECH PTE. LTD. | Melon VPN – Secure Proxy VPN | 50,000,000+ |
| C | FreeConnectedLimited | X-VPN | 50,000,000+ |
| C | Fast Potato ptd ltd | Fast Potato VPN | 10,000,000+ |
| Other | Mizcon LLC | Tetra VPN | 1,000,000+ |
| Other | Super VPN Inc | VPN – Super Unlimited Proxy | 100,000,000+ |
| Other | Secure Signal Inc | Secure VPN Safer Internet | 100,000,000+ |
محققان این اپلیکیشنها را به سه گروه تقسیم کردهاند. گروه اول (شامل اپهایی مثل Turbo VPN و VPN Proxy Master) تقریباً از کدها، کتابخانهها و حتی رمزهای از پیش تعریفشده یکسانی استفاده میکنند. این رمزها در پروتکل Shadowsocks به کار میروند و میتوانند برای رهگیری ترافیک کاربران مورد سوءاستفاده قرار گیرند. گروه دوم نیز صرفاً به Shadowsocks متکی است و همان مشکل را دارد. گروه سوم از پروتکل اختصاصی استفاده میکند اما ساختار و عملکردش بسیار شبیه دو گروه دیگر است و کدهای آن برای جلوگیری از مهندسی معکوس بهشدت مبهمسازی شدهاند.
مهمترین ضعف مشترک این اپها ردیابی موقعیت مکانی کاربران، رمزگذاری ضعیف دادهها و استفاده از کلیدهای رمزنگاری ثابت است. این مشکلات عملاً امنیت و ناشناسماندن وعده دادهشده توسط VPN را بیاثر میکند و حتی میتواند به شنود کامل ترافیک اینترنت منجر شود.
پژوهشگران هشدار دادهاند ثبت پنهانی موقعیت مکانی، نقض آشکار اعتماد و حریم خصوصی است و استفاده از رمزهای مشترک، این برنامهها را از نظر فنی به ابزاری در حد بدافزار نزدیک میکند. همچنین تأکید شده است که پنهانکاری در مالکیت این اپلیکیشنها باعث شده میلیونها کاربر بدون اطلاع، دادههای حساس خود را در اختیار یک شرکت واحد قرار دهند. این در حالی است که Qihoo 360 به دلیل ارتباط نزدیک با دولت چین از مدتها پیش در حوزه امنیت سایبری زیر ذرهبین بوده است.
مشکل اصلی اینجاست که در حالیکه بیشتر شرکتها تلاش میکنند یک برند معتبر و قابل اعتماد بسازند، شرکت چینی مورد بحث رویکردی متفاوت در پیش گرفته و اپلیکیشنهای VPN مجانی خود را با نامها و هویتهای گوناگون عرضه کرده است که پرسشهای زیادی را به ذهن متبادر میسازد. این واقعیت در کنار رمزنگاری ضعیف و ردیابی موقعیت مکانی کاربر، بسیار نگران کننده به نظر میرسد.
