VPN ma swoje tajemnice — użytkownicy płacą prywatnością!

6 marca, 2020

VPN to temat popularny, trochę niepotrzebnie rozdmuchiwany przez czołowe portale zajmujące się bezpieczeństwem. Aplikacje do tunelowania ruchu nigdy nie służyły do maskowania tożsamości. Pierwszorzędnym celem tego oprogramowania jest bezpieczeństwo. Wątpliwości o nieumiejętnym korzystaniu z VPN i braku świadomości co do technicznych zagadnień rozwiewa raport pt. „An Analysis of the Privacy and Security Risks ofAndroid VPN Permission-enabled Apps” przeprowadzony przez kilku badaczy, którzy poddali analizie 283 aplikacje VPN na Androida.

Prywatność w VPN to MIT!

Miliony użytkowników na całym świecie korzysta z mobilnych klientów VPN w celu np. obchodzenia cenzury dostępu do treści. Część internautów zainteresowała się aplikacjami VPN ze względu na prywatność i bezpieczeństwo jaką mają zapewniać – według marketingowych danych producentów.

W praktyce trudno jest zweryfikować, czy gwarancje stawiane przez deweloperów VPN są przestrzegane. Chyba jedynym sposobem na sprawdzenie tych informacji przez nietechnicznych użytkowników jest uwierzenie w zapewnienia producentów, albo kierowanie się dobrą opinią innych użytkowników — również nietechnicznych, którzy mogli czytać przychylne materiały na temat danego dostawcy VPN.

Wnioski z raportu

Nie istnieją darmowe VPN szanujące prywatność!

Nie istnieją komercyjne VPN szanujące prywatność!

A więc jakie aplikacje VPN są odpowiednie? Najrozsądniej jest używać takich, które są skonfigurowane i zarządzane samodzielnie lub przez organizację. Dla użytkowników domowych skonfigurowanie i zabezpieczenie serwera jest zadaniem bardzo trudnym, dlatego pozornie oczywistym wyborem są usługi VPN. Prywatność w internecie jest niemalże nieosiągalna, ponieważ prędzej czy później dochodzi o wycieku.

Kompleksowa analiza 283 aplikacji na Androida wykazała, że:

  • Niektórzy deweloperzy podszywają się pod usługi VPN, gdzie tak naprawdę rozprzestrzeniają złośliwe oprogramowanie i kontrolują ruch przechodzący przez smartfon.
  • Aplikacje VPN na Androida narażają użytkowników na poważne naruszenia prywatności i bezpieczeństwa. Na przykład nie używają zabezpieczonych protokołów tunelowania, dochodzi też do wycieków adresów IP i DNS.

Aż 10% aplikacji komercyjnych i 19% darmowych VPN-ów nie szyfrowało ruchu!

  • Część z przebadanych aplikacji VPN aktywnie przechwytywało ruch TLS, co pozwalało na kontrolowanie i manipulowaniem ruchu.
  • Badacze znaleźli również takie aplikacje, które wstrzykiwały JavaScript w celu śledzenia, reklamowania i przekierowywania ruchu e-commerce do partnerów zewnętrznych. Wśród najbardziej popularnych skryptów są: Google Ads, Google Analytics, Squareup, Crashlytics, Flurry, Mopub, Startapp, Tencent i wiele innych.
  • Aż 75% aplikacji poddanych analizie korzysta z bibliotek do śledzenia!
  • Aż 82% aplikacji VPN żąda zbyt wysokich uprawnień np. do czytania wiadomości:
WRITE_EXTERNAL_STORAGE

RECEIVE_BOOT_COMPLETED

READ_PHONE_STATE

READ_EXTERNAL_STORAGE

GET_ACCOUNTS

BILLING

GET_TASKS

ACCESS_COARSE_LOCATION

RECEIVE

CHANGE_WIFI_STATE

WRITE_SETTINGS

ACCESS_FINE_LOCATION

SYSTEM_ALERT_WINDOW

READ_LOGS

READ_CONTACT

SKILL_BACKGROUND_PROCESSES

USE_CREDENTIALS

READ_SETTINGS

READ_GSERVICES

MANAGE_ACCOUNTS

READ_SMS

WRITE_CONTACTS

RECEIVE_SMSCALL_PHONE

READ_HISTORY_BOOKMARKS

WRITE_SMS

SEND_SMS

WRITE_HISTORY_BOOKMARKS

DISABLE_KEYGUARD

MDM_SECURITY

ACCESS_SUPERUSER

ENTERPRISE_DEVICE_ADMIN

MDM_INVENTORY

CHECK_LICENSE
  • Prawie 37% aplikacji VPN ma ponad 500.000 instalacji w sklepie dla Androida.
  • Co najmniej 25% aplikacji ma minimum 4 gwiazdki!
  • Aż 38% aplikacji VPN zawiera obecność złośliwego oprogramowania (według VirusTotal).

Aplikacje VPN według VirusTotal.

Analiza popularnych aplikacji VPN pokazała ich faktyczny stan na rynku konsumenckim. Spora część oprogramowania nawet nie jest warta uwagi.

Autorzy nie ujawniają każdej aplikacji z nazwy, aby nie narazić się na pozwy sądowe ze strony dostawców. Opisano tylko niektóre z 283 aplikacji — można powiedzieć, że te najbardziej szkodliwe.

Użytkownicy, którzy sięgają po tego rodzaju oprogramowanie, muszą być świadomi do czego służy VPN. Wbrew pozorom nie do ukrywania tożsamości.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 4 / 5. Liczba głosów: 2

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]