Penyelidikan baharu telah mendedahkan masalah keselamatan yang serius dalam lapan aplikasi VPN popular yang melayani lebih daripada 700 juta pengguna di seluruh dunia. Kajian ini mendedahkan bahawa aplikasi-aplikasi tersebut mengandungi kelemahan privasi yang besar dan mempunyai kaitan yang membimbangkan dengan angkatan tentera China.
Penyelidikan yang dijalankan oleh Benjamin Mixon-Baca dan rakan-rakan sekerja telah mengkaji 32 aplikasi VPN popular di Google Play Store. Penemuan mereka menunjukkan bahawa walaupun VPN berjanji untuk melindungi privasi pengguna, banyak penyedia komersial beroperasi dengan ketelusan yang boleh dipersoalkan dan meletakkan pengguna pada risiko yang ketara.
Skop Penyelidikan:
- 32 aplikasi VPN popular dianalisis
- 21 penyedia VPN yang kelihatan berbeza diperiksa
- Lebih 1 bilion muat turun kolektif di Google Play Store
- Pengguna terutamanya di: India , Indonesia , Russia , Pakistan , Saudi Arabia , Turkey , UAE , Bangladesh , Egypt , Algeria , Singapore , dan Brazil
 |
|---|
| Artikel yang menyerlahkan penyelidikan mengenai kelemahan keselamatan VPN dan kepentingan ketelusan dalam industri VPN |
Masalah Kepercayaan dengan VPN Komersial
Komuniti teknologi telah lama memperdebatkan sama ada VPN komersial benar-benar memenuhi janji keselamatan mereka. Ramai pengguna membeli perkhidmatan VPN berdasarkan dakwaan pemasaran yang samar-samar tentang mencegah kecurian identiti atau memerlukannya untuk keselamatan, tanpa memahami apa yang sebenarnya mereka beli. Realitinya ialah menggunakan VPN bermakna memindahkan kepercayaan daripada penyedia perkhidmatan internet anda kepada syarikat VPN - keputusan yang membawa implikasi serius.
Perbincangan komuniti mendedahkan bahawa kebanyakan orang menggunakan VPN untuk tujuan praktikal seperti mengakses kandungan yang disekat secara geografi, mengelakkan aduan ISP tentang torrenting, atau memintas sekatan tempat kerja. Walau bagaimanapun, pemasaran sering memfokuskan pada dakwaan keselamatan berasaskan ketakutan yang mungkin tidak sepadan dengan perlindungan sebenar yang disediakan.
Kelemahan Keselamatan Serius Ditemui
Aplikasi VPN yang bermasalah mengandungi beberapa kelemahan keselamatan kritikal yang menjejaskan tujuan asas mereka. Ini termasuk kata laluan yang dikodkan keras dikongsi merentas semua pengguna, membolehkan penyerang untuk menyahsulit trafik VPN untuk semua orang yang menggunakan perkhidmatan tersebut. Aplikasi-aplikasi ini juga menggunakan Shadowsocks untuk tunneling, yang direka untuk memintas penapisan dan bukannya menyediakan kerahsiaan.
Mungkin yang paling membimbangkan, VPN ini terdedah kepada serangan di mana pelakon berniat jahat boleh memintas dan mengubah suai komunikasi pengguna tanpa pengesanan. Sesetengah aplikasi juga mengumpul data lokasi pengguna walaupun mendakwa mereka tidak mengumpul maklumat ini.
Kelemahan Keselamatan Utama Yang Ditemui:
- Kata laluan berkod keras yang dikongsi merentasi semua pengguna
- Penggunaan Shadowsocks untuk terowongan (direka untuk akses, bukan kerahsiaan)
- Terdedah kepada serangan buta-masuk/pada-laluan sebelah klien/pelayan
- Pengekstrakan data lokasi pengguna walaupun terdapat dakwaan privasi
- Keupayaan untuk penyerang mengeluarkan penyulitan dan menyahsulit trafik VPN
Kaitan Tentera China Menimbulkan Kebimbangan
Penyelidikan mengenal pasti dua kumpulan penyedia VPN dengan corak pemilikan yang merisaukan. Kumpulan pertama termasuk syarikat-syarikat dengan kaitan yang telah ditetapkan dengan People's Liberation Army (PLA) China dan firma keselamatan siber China Qihoo 360. Kumpulan kedua menunjukkan ciri operasi yang serupa dan nampaknya dikawal oleh warganegara China yang sama, walaupun kaitan tentera langsung belum disahkan.
Kaitan ini amat membimbangkan kerana pengguna yang mencari perlindungan privasi mungkin tanpa sedar menghalakan trafik mereka melalui perkhidmatan yang dikawal oleh kepentingan tentera asing. Aplikasi-aplikasi tersebut berkongsi kod dan infrastruktur walaupun kelihatan daripada syarikat yang berbeza, mencadangkan operasi yang diselaraskan di bawah pemilikan tersembunyi.
Kumpulan Penyedia VPN Bermasalah:
Kluster Pertama (dengan kaitan PLA):
- INNOVATING CONNECTING LIMITED
- AUTUMN BREEZE PTE. LIMITED
- LEMON CLOVE PTE. LIMITED
Kluster Kedua (ciri-ciri serupa):
- MATRIX MOBILE PTE. LTD.
- ForeRaya Technologies PTE LTD
- Wildlook Tech Pte Ltd.
- Hong Kong Silence Technology
- Yolo Technology Limited
VPN Percuma Menimbulkan Risiko Lebih Tinggi
Kajian ini mengesahkan apa yang telah lama disyaki oleh ramai pakar teknologi - perkhidmatan VPN percuma menimbulkan risiko yang lebih besar daripada alternatif berbayar. VPN komersial percuma biasanya memonetisasi data pengguna dan mungkin terlibat dalam amalan yang boleh dipersoalkan dari segi etika. Sesetengah ahli komuniti menyatakan bahawa perkhidmatan percuma mungkin juga menggunakan peranti pelanggan sebagai nod proksi untuk aktiviti komersial lain.
Walau bagaimanapun, perkhidmatan VPN berbayar pun tidak terlepas daripada masalah. Penyelidikan menunjukkan bahawa ketelusan dan keselamatan tidak selalu berkorelasi dengan harga, dan pengguna perlu menilai penyedia dengan teliti berdasarkan amalan sebenar mereka dan bukannya dakwaan pemasaran.
Membuat Pilihan VPN yang Berinformasi
Bagi pengguna yang benar-benar memerlukan perkhidmatan VPN, kuncinya ialah memahami model ancaman khusus anda dan memilih penyedia mengikutnya. Jika anda hanya cuba mengelakkan aduan ISP tentang torrenting atau mengakses kandungan yang disekat secara geografi, keperluan keselamatan berbeza dengan ketara daripada seseorang yang menghadapi pengawasan atau penapisan kerajaan.
Penyelidikan menekankan bahawa pengguna harus mengutamakan ketelusan dalam penyedia VPN, walaupun ini mewujudkan pertukaran. Penyedia telus boleh lebih mudah disasarkan oleh pihak berkuasa, manakala penyedia tanpa nama mungkin menyembunyikan niat jahat. Cabaran terletak pada mencari perkhidmatan yang mengimbangi kebimbangan ini dengan sewajarnya.
Memandangkan privasi dalam talian menjadi semakin penting, penyelidikan ini menyerlahkan keperluan untuk standard dan pengawasan yang lebih baik dalam industri VPN. Pengguna berhak mengetahui siapa yang mengawal perkhidmatan yang mereka percayai dengan data mereka, dan kedai aplikasi harus mengenal pasti dengan jelas penyedia mana yang beroperasi secara telus berbanding mereka yang tidak.