Virtuālie privātie tīkli ir kļuvuši par iecienītu vietu daudziem lietotājiem, lai slēptu savas IP adreses un apietu ģeobloķējumus, taču, ja pakalpojums ir bezmaksas, rēķins bieži vien ir datu veidā. Vairākas nesen veiktas analīzes liecina, ka Bezmaksas VPN var apdraudēt privātumu un to personu drošību, kas tās uzstāda, bieži vien viņiem to neapzinoties.
Problēma nav ne atsevišķa, ne mazsvarīga: tās ir atklātas Tehniskas kļūmes, neskaidri biznesa modeļi un uzmācīgas atļaujas potenciāli ietekmējot miljoniem cilvēku. Kiberdrošības eksperti brīdina, ka “bezmaksas” tiek finansēts ar informācijas vākšana un izmantošana, agresīvas reklāmas integrācijas vai vēl bīstamākas prakses.
Ko pētnieki ir atklājuši
Zimperium zLabs tehniskajā ziņojumā tika pārbaudīts gandrīz 800 VPN lietotnes mobilie tālruņi, vienādi sadalīti starp iOS un Android, un atklāja atkārtotu modeli: slikta privātuma aizsardzība, nevajadzīgas atļaujas un kods ar zināmām ievainojamībām.
Secinājumi ietver to, ka 25% iOS VPN pakalpojumu sniedzēju nav derīgas privātuma politikas un ka aptuveni 6% pieprasa priviliģētas atļaujas, kas viņiem nebūtu vajadzīgas. Turklāt tika konstatēts, ka vecākas OpenSSL versijas ietekmē Heartbleed (CVE-2014-0160) un nepareizas sertifikātu validācijas gadījumi, kas paver iespējas starpnieka (MITM) uzbrukumi.
Ietekme sniedzas tālāk par personīgo lietošanu: darba vidē, kur tiek izmantotas personīgās ierīces, slikti uzturēti VPN var kļūt par problēmu. vājais posms korporatīvajā drošībā (BYOD), atklājot sensitīvus datus sliktas izstrādes un uzturēšanas higiēnas dēļ.
Vienlaikus Atvērto tehnoloģiju fonda VPN pārredzamības ziņojumā tika analizēti 32 komerciāli pakalpojumu sniedzēji un atklātas nopietnas problēmas tādos populāros pakalpojumos kā TurboVPN, VPN Proxy Master, XY VPN vai 3X VPN — vienmērīga pārlūkošana, daži ar vairāk nekā 100 miljoniem lejupielāžuStarp ziņotajām praksēm ir tādu tehnoloģiju izmantošana kā Ēnas tiek pasniegta kā spēcīga šifrēšana, neskatoties uz to, ka tā nav paredzēta šim nolūkam.
Kaspersky eksperti uzsver, ka daudzi bezmaksas VPN darbojas kā "ēsma" lai piesaistītu uzticamus lietotājus: aiz tā var būt jebkas, sākot no masveida datu monetizācijas līdz ierīču izmantošana botnetos, kā dokumentēts iepriekšējos incidentos.
Izplatīta prakse bezmaksas VPN tīklos
- Pārmērīgas atļaujas: Android ierīcēs tādi pieprasījumi kā READ_LOGS vai AUTHENTICATE_ACCOUNTS sniedz piekļuvi sistēmas žurnāliem un kontu pārvaldībai; iOS ierīcēs tiek redzama fona ģeogrāfiskā atrašanās vieta. piekļuve lokālajam tīklam bez skaidra pamatojuma.
- Datu reģistrēšana un pārdošana: “Bezmaksas un neierobežotas” modelis parasti ir balstīts uz telemetrija, izsekošanas ierīces un vienošanās ar trešajām pusēm par datplūsmas monetizāciju vai pat joslas platums lietotāja.
- Vāja vai simulēta šifrēšana: novecojušas bibliotēkas (neaizsargāts OpenSSL) un slikta sertifikātu validācija atļaut MITM uzbrukumus un noplūdes.
- Juridiskā necaurredzamība: nepilnīgas vai neesošas privātuma politikas un to trūkums ārējās revīzijas lai pārbaudītu tādus solījumus kā politika bez žurnāliem.
Dažos gadījumos mēģinājumi izmantot privātas atļaujas operētājsistēmā iOS, dziļu piekļuvi sistēmas funkcijām, kas sniedzas tālāk par publiskajām API. Lai gan sistēma tās ne vienmēr piešķir, pats pieprasījums jau ir a trauksmes signāls.
Satraucoši gadījumi un skaitļi
Nesen veiktā NordVPN aptauja Lielbritānija norāda, ka 12% lietotāju turpina paļauties uz bezmaksas pakalpojumiem, neskatoties uz to, ka vispārējais zināšanu līmenis par VPN ir aptuveni 80%Starp iemesliem ir ietaupījumi un ātru risinājumu meklēšana konkrētām vajadzībām.
Speciālisti norāda uz papildu riskiem: piegādātāji ar štatu saites neskaidri, vāji protokoli, kas lietotājus atstāj izpārdotus Publiskais Wi-Fi un lietotņu veikalu vērtējumi, kuros lietošanas ērtums ir svarīgāks par privātuma garantijām. Kad tas tiek solīts "bezmaksas un neierobežots", realitāte parasti ir tāda, datu monetizācija, joslas platuma tālākpārdošana vai agresīva papildu pārdošana.
Vairākas tehniskās analīzes ir dokumentējušas izmantošanu novecojušas trešo pušu bibliotēkas, ieskaitot atlikušo Heartbleed klātbūtni un problēmas ar sertifikāta piespraušana kas veicina MITM uzbrukumus. Tie ir pamata trūkumi, kuriem nevajadzētu pastāvēt programmatūrā, kas paredzēta saziņas aizsardzībai.
Tam klāt nāk arī gadījums, kad Mobdro Pro IP TV + VPN, lietotne, kas tika izplatīta ārpus Google Play un darbojās kā banku Trojas zirga instalētāja KlopatraAr sociālās inženierijas palīdzību uzbrucēji ieguva atļaujas no Pieejamības pakalpojumi lai pārņemtu ierīces kontroli, nozagtu akreditācijas datus un pārvaldītu kontus; ir dokumentēti visā 3.000 XNUMX inficēšanās gadījumu un divu botnetu izmantošana tā izplatīšanai.
Papildu riski operētājsistēmās Android un iOS
Android ierīcēs daži VPN klienti pieprasa READ_LOGS (lasīšanas ierakstus) un AUTENTIFICĒT_KONTUS (kontu un žetonu pārvaldība). Šādas atļaujas var pavērt durvis uz sensitīvu datu noplūdes jau ir detalizēta lietotāju aktivitāšu kartēšana. sānu iekraušana Tas arī palielina pakļautību ļaunprātīgām kampaņām.
iOS ierīcēs ir novēroti pieprasījumi par pastāvīga atrašanās vieta un piekļuvi vietējais tīkls kas ļauj klusi skenēt tuvumā esošās ierīces. Šo problēmu vēl vairāk saasina caurspīdīguma trūkums: dažas no analizētajām lietotnēm nebija iekļauts atbilstošs paziņojums par privātumu, kas neļauj sniegt informētu piekrišanu.
Nepareiza sertifikāta validācija un tā neesamība sertifikāta piespraušana Skaidrā nauda veicina starpnieka uzbrukumus, degradējot it kā “drošo savienojumu” par neaizsargātu kanālu. Ja mēs tam pievienojam... novecojis kriptogrāfiskais kods, risks vairojas.
Uzņēmumiem ar BYOD politikām slikts VPN var būt problēma. operacionālais risksPietiek ar vienu neaizsargātu klientu, lai tiktu atklāti akreditācijas dati, saziņa vai uzņēmuma dati.
Ieteikumi gudrai navigācijai
Ekspertu vispārējais modelis ir skaidrs: izvairieties no bezmaksas VPNIr reti izņēmumi, piemēram, publiskās revīzijas, taču tās nav norma. Lai samazinātu riskus, ieteicams izvēlēties pakalpojumus ar auditēta politika bez reģistrēšanas, juridiskā pārredzamība un neatkarīgas pārskatīšanas.
- Pārbaudes auditi un jurisdikcija: Meklējiet ārēju apstiprinājumu par reģistrēšanas aizliegumu (No-Logs), publicējiet skaidras juridiskās atbildības un datu saglabāšanas politikas.
- Pirms pieņemšanas pārbaudiet atļaujas: noliegt Ģeolokācija fonā un piekļuvi lokālajam tīklam, ja tie nav pamatoti. Esiet piesardzīgi attiecībā uz pieprasījumiem, kas nav VPN mērķis.
- Pieprasiet mūsdienīgu šifrēšanu: piešķir prioritāti tādiem protokoliem kā WireGuard vai OpenVPN un izvairieties no "starpniekservera", kas tiek pārdots kā šifrēšana.
- Instalējiet tikai no oficiālajiem veikaliem: Izvairieties no nepārbaudītiem avotiem un izlasiet Privacy Policy detalizēti; meklējiet neatkarīgus informatīvos dokumentus un pārskatus.
- Pareizi konfigurējiet lietotni: Aktivizējiet savu kill switch un DNS, ierobežojiet telemetriju un saglabājiet klientu aktualizado.
Uzkrātie pierādījumi neatstāj gandrīz nekādas šaubas: ja pakalpojums sola aizsardzību bez maksas, faktiskā samaksa bieži vien ir savus datusTehnisku ievainojamību, neskaidru politiku un ļaunprātīgu atļauju dēļ bezmaksas VPN var atmaskot miljoniem cilvēku; labākais veids, kā sevi pasargāt, ir izglītoties, pārskatīt katru atļauju un izvēlēties auditētus un caurspīdīgus pakalpojumu sniedzējus. aizsargāt savu privātumu nekādu pārsteigumu.
