Analisis keselamatan menyeluruh telah mendedahkan kelemahan yang membimbangkan merentasi pelbagai keluarga aplikasi VPN percuma yang tersedia di Google Play Store , yang telah dimuat turun secara kolektif melebihi 700 juta kali. Penyelidikan ini, yang dijalankan oleh pakar keselamatan dari Bowdoin College dan Arizona State University dengan kerjasama Breakingpoint Bad , mendedahkan bagaimana perkhidmatan VPN yang kelihatan bebas berkongsi pangkalan kod yang sama dan kelemahan keselamatan kritikal yang menjejaskan privasi pengguna.
Metodologi Penyelidikan
Kajian Dijalankan Oleh:
- Penyelidik keselamatan Bowdoin College
- Penyelidik Arizona State University
- Breakingpoint Bad (organisasi bukan untung keselamatan teknikal)
Skop Penyelidikan:
- Analisis terhadap 100 VPN teratas di Google Play Store
- Tumpuan kepada 20 aplikasi merentasi 3 keluarga
- Gabungan muat turun: 700+ juta
- Diterbitkan di Privacy Enhancing Technologies Symposium (PETS)
 |
|---|
| Berinteraksi dengan teknologi digital sambil menavigasi risiko keselamatan aplikasi VPN |
Tiga Keluarga VPN Berkaitan Ditemui
Penyiasatan ini mengenal pasti tiga keluarga aplikasi VPN yang berbeza yang, walaupun memasarkan diri mereka sebagai perkhidmatan bebas, berkongsi infrastruktur dan kod yang sangat serupa. Keluarga A merangkumi aplikasi popular seperti Turbo VPN , VPN Monster , dan VPN Proxy Master , semuanya mengandungi kod Java yang hampir serupa, perpustakaan berkongsi, dan aset. Keluarga B merangkumi perkhidmatan seperti Global VPN , XY VPN , dan Touch VPN , yang berkongsi alamat IP VPN dan merujuk penyedia Keluarga A dalam dasar privasi mereka. Kumpulan terkecil, Keluarga C, merangkumi X-VPN dan Fast Potato VPN , kedua-duanya menggunakan struktur kod yang serupa dan pelaksanaan protokol proprietari.
Aplikasi VPN Yang Terjejas Mengikut Keluarga
Keluarga A (Innovative Connecting, Lemon Clove, Autumn Breeze):
- Turbo VPN
- Turbo VPN Lite
- VPN Monster
- VPN Proxy Master
- VPN Proxy Master - Lite
- Snap VPN
- Robot VPN
- SuperNet VPN
Keluarga B (MATRIX MOBILE PTE LTD, Super Z VPN, The Tool Tech, dll.):
- Global VPN
- XY VPN
- Super Z VPN
- Touch VPN
- VPN ProMaster
- 3X VPN
- VPN Inf
- Melon VPN
Keluarga C (FreeConnectedLimited, Fast Potato):
- X-VPN
- Fast Potato VPN
Kelemahan Keselamatan Kritikal Mengancam Data Pengguna
Penemuan yang paling membimbangkan melibatkan kata laluan Shadowsocks yang dikodkan keras dalam fail APK aplikasi. Kata laluan ini membolehkan penyerang menyahsulit trafik pengguna, sepenuhnya menjejaskan janji keselamatan yang dibuat oleh perkhidmatan VPN ini kepada pengguna mereka. Kelemahan tambahan termasuk kerentanan kepada serangan sisi buta, protokol penyulitan yang lemah, dan kelemahan yang membenarkan serangan inferens sambungan. Kelemahan sedemikian pada dasarnya menjadikan VPN tidak berkesan dalam melindungi privasi pengguna, tujuan utama orang memasang aplikasi ini.
Kelemahan Keselamatan Utama Yang Dikenal Pasti
| Jenis Kelemahan | Impak | Penerangan |
|---|---|---|
| Kata laluan Shadowsocks yang dikod keras | Kritikal | Membolehkan penyerang menyahsulit trafik pengguna |
| Serangan sisi buta | Tinggi | Menjejaskan keselamatan sambungan |
| Penyulitan lemah | Tinggi | Perlindungan data pengguna yang tidak mencukupi |
| Serangan inferens sambungan | Sederhana | Membolehkan analisis corak trafik |
| Infrastruktur berkongsi | Sederhana | Mengurangkan kebebasan dan ketelusan perkhidmatan |
Amalan Pemasaran Menipu Mengelirukan Pengguna
Penyelidikan ini menyerlahkan bagaimana keluarga VPN ini terlibat dalam amalan yang berpotensi menipu dengan mempersembahkan diri mereka sebagai alternatif bebas sedangkan mereka berkongsi asal usul dan infrastruktur yang sama. Ini mewujudkan ilusi pilihan untuk pengguna yang melayari Google Play Store , yang percaya mereka membandingkan perkhidmatan yang berbeza sedangkan mereka pada dasarnya melihat variasi produk yang sama. Amalan ini menjadi sangat bermasalah apabila pengguna tidak dapat membuat keputusan termaklum tentang alat privasi mereka kerana kekurangan ketelusan ini.
Model Hasil Menimbulkan Kebimbangan Tambahan
Perkhidmatan VPN percuma ini menjana hasil melalui pengiklanan dan pengumpulan data, mewujudkan konflik kepentingan yang wujud dengan privasi pengguna. Dengan lebih 700 juta muat turun merentasi aplikasi yang dikenal pasti, perkhidmatan ini berkemungkinan menjana hasil pengiklanan yang besar sambil berpotensi menjejaskan privasi yang ingin dilindungi oleh pengguna. Kajian ini mencadangkan kemungkinan hubungan dengan China , menimbulkan kebimbangan tambahan tentang amalan pengendalian data dan pematuhan dengan peraturan mesra privasi.
Cabaran Pengawasan Google Play Store
Perkembangan aplikasi VPN bermasalah ini menyerlahkan cabaran ketara dalam pengawasan kedai aplikasi dan proses pemeriksaan keselamatan. Walaupun Google menawarkan lencana audit keselamatan untuk aplikasi VPN, penyelidik mencadangkan menjadikan lencana tersebut wajib dan melaksanakan proses pengesahan identiti untuk pembangun. Had skalabiliti sistem semasa menjadikannya sukar untuk mengenal pasti perisian dengan sifat keselamatan yang mengelirukan sebelum ia sampai kepada berjuta-juta pengguna.
Cadangan untuk Perlindungan Pengguna
Pakar keselamatan menekankan kepentingan memilih perkhidmatan VPN berbayar yang mantap dengan rekod prestasi yang terbukti dan amalan keselamatan yang telus. Penyedia bereputasi seperti NordVPN , ExpressVPN , Proton VPN , dan Surfshark menjalani audit keselamatan berkala dan mengekalkan dasar yang jelas tentang pengendalian data dan piawaian penyulitan. Pengguna harus berhati-hati terutamanya dengan perkhidmatan VPN percuma yang kelihatan terlalu baik untuk menjadi kenyataan, kerana kos infrastruktur menjalankan pelayan VPN memerlukan model hasil yang mampan yang mungkin menjejaskan privasi pengguna.