Citizen Lab je identifikovao veze između više VPN provajdera, kao i brojne bezbjednosne slabosti u njihovim mobilnim aplikacijama.
Gotovo dvije desetine VPN aplikacija na Google Play sadrže bezbjednosne slabosti koje utiču na privatnost korisnika, izlažući prenesene podatke mogućnosti dešifrovanja, pokazuje novi izvještaj Citizen Lab-a.
Dodatno, VPN provajderi koji nude ove aplikacije mogu se povezati jedni s drugima, iako tvrde da su odvojene kompanije i koriste različite metode da prikriju svoj pravi identitet.
Polazeći od ranijih izvještaja koji povezuju Innovative Connecting, Autumn Breeze i Lemon Clove, tri VPN provajdera koji tvrde da imaju sjedište u Singapuru, sa kineskim državljaninom, analiza Citizen Lab-a identifikovala je dodatne veze između njihovih aplikacija, kao i povezanost drugih VPN aplikacija i njihovih provajdera.
Prema izvještaju Citizen Lab-a (PDF), osam VPN aplikacija koje nude Innovative Connecting, Autumn Breeze i Lemon Clove dijele kod, zavisnosti i hardkodirane lozinke, što potencijalno omogućava hakerima da dešifruju saobraćaj svojih korisnika. Ove aplikacije imaju preko 380 miliona preuzimanja na Google Play.
Sve tri kompanije, za koje je ranije utvrđeno da imaju veze sa Qihoo 360, kineskom sajber bezbjednosnom firmom koju su SAD sankcionisale 2020. godine, nude VPN servise na aplikativnom sloju i oslanjaju se na Shadowsocks protokol, dizajniran da zaobiđe Veliki kineski firewall.
Protokol koristi simetričnu enkripciju i podložan je različitim napadima zbog zastarjelih algoritama i hardkodiranih lozinki. Dodatno, njegova interakcija sa sistemskim mehanizmima za praćenje konekcija omogućava hakeru da preuzme kontrolu nad vezama.
Osam aplikacija, i to Turbo VPN, Turbo VPN Lite, VPN Monster, VPN Proxy Master, VPN Proxy Master – Lite, Snap VPN, Robot VPN i SuperNet VPN, podržavaju IPsec i Shadowsocks protokole, imaju značajna preklapanja u kodu i implementiraju mehanizme za obmanu analize i automatizovanih bezbjednosnih provjera.
Sve aplikacije pokazale su ranjivost na ometanje konekcija i napade ubrizgavanja paketa, sve prikupljaju podatke o lokaciji korisnika, koriste slabu enkripciju i sadrže hardkodiranu lozinku za Shadowsocks konfiguraciju.
Koristeći ovu lozinku, Citizen Lab je otkrio da tri VPN provajdera koji nude navedene aplikacije dijele istu infrastrukturu, dodatno učvršćujući vezu među njima.
Druga grupa provajdera, i to Matrix Mobile PTE LTD, ForeRaya Technology Limited, Wildlook Tech PTE LTD, Hong Kong Silence Technology Limited i Yolo Mobile Technology Limited, može se povezati kroz korišćenje istih protokola, sličnosti u kodu i metode obfuskacije.
Njihovi VPN klijenti, koji imaju više od 380 miliona preuzimanja, pokazali su ranjivost na napade inferencije konekcije, sadrže prikrivene lozinke i povezuju se na isti set IP adresa.
Dva druga provajdera, Fast Potato Pte. Ltd i Free Connected Limited, nude VPN klijente koji se oslanjaju na istu vlasničku implementaciju protokola.
Citizen Lab je takođe analizirao tri aplikacije kompanija VPN Super Inc., Miczon LLC i Secure Signal Inc., koje, čini se, nisu povezane sa drugim VPN-ovima i koje ne koriste metode obfuskacije osim ProGuard-a.
Prema Citizen Lab-u, identifikovani bezbjednosni i privatnosni problemi u analiziranim aplikacijama imaju različit uticaj na korisnike, uključujući narušavanje povjerenja i privatnosti kroz prikupljanje lokacije bez otkrivanja, kao i izloženost presretanju i manipulaciji saobraćajem.
„Problemi koje smo identifikovali pogađaju korisnike, provajdere i prodavnice aplikacija. Kao minimum, VPN korisnici koji cijene privatnost trebalo bi da izbjegavaju korišćenje Shadowsocks-a, uključujući aplikacije ovih developera, jer Shadowsocks nije dizajniran da obezbijedi privatnost, već isključivo zaobilaženje cenzure,“ navodi Citizen Lab.
Izvor: SecurityWeek
