Rangkaian persendirian maya telah menjadi pilihan ramai pengguna untuk menyembunyikan alamat IP mereka dan memintas geoblock, tetapi apabila perkhidmatan itu percuma, bil sering datang dalam bentuk data. Beberapa analisis terkini menunjukkan bahawa VPN percuma boleh menjejaskan privasi dan keselamatan mereka yang memasangnya, selalunya tanpa mereka sedari.
Masalahnya bukan terpencil mahupun kecil: ia telah dikesan Gangguan teknikal, model perniagaan legap dan kebenaran mengganggu berpotensi menjejaskan berjuta-juta orang. Pakar keselamatan siber memberi amaran bahawa "percuma" dibiayai dengan pengumpulan dan eksploitasi maklumat, integrasi pengiklanan yang agresif atau amalan yang lebih berbahaya.
Apa yang telah ditemui oleh penyelidik
Laporan teknikal daripada Zimperium zLabs diperiksa hampir 800 apl VPN telefon mudah alih, dibahagikan sama rata antara iOS dan Android, dan menemui corak berulang: privasi yang lemah, kebenaran yang tidak diperlukan dan kod dengan kelemahan yang diketahui.
Penemuan termasuk bahawa 25% daripada VPN iOS tidak mempunyai dasar privasi yang sah dan kira-kira 6% meminta kebenaran istimewa yang tidak sepatutnya mereka perlukan. Selain itu, versi lama OpenSSL didapati dipengaruhi oleh Heartbleed (CVE-2014-0160) dan kes pengesahan sijil yang salah, yang membuka pintu kepada serangan man-in-the-middle (MITM)..
Kesannya melangkaui penggunaan peribadi: dalam persekitaran kerja dengan peranti peribadi, VPN yang tidak diselenggara dengan baik boleh menjadi pautan lemah dalam keselamatan korporat (BYOD), mendedahkan data sensitif akibat pembangunan dan kebersihan penyelenggaraan yang lemah.
Secara selari, Laporan Ketelusan VPN Open Technology Fund menganalisis 32 penyedia komersial dan mengesan masalah serius dalam perkhidmatan popular seperti TurboVPN, VPN Proxy Master, XY VPN atau 3X VPN – Penyemakan Imbas Lancar, beberapa dengan lebih daripada 100 juta muat turunAntara amalan yang dilaporkan, penggunaan teknologi seperti Shadowsocks dipersembahkan sebagai penyulitan yang kuat, walaupun tidak direka untuk tujuan itu.
Pakar Kaspersky menekankan bahawa banyak VPN percuma berfungsi sebagai "umpan" untuk menarik pengguna yang mempercayai: di sebaliknya mungkin terdapat apa-apa daripada pengewangan data secara besar-besaran kepada eksploitasi peranti dalam botnet, seperti yang didokumenkan dalam insiden sebelumnya.
Amalan biasa dalam VPN percuma
- Keizinan yang berlebihan: Pada Android, permintaan seperti READ_LOGS atau AUTHENTICATE_ACCOUNTS memberikan akses kepada log sistem dan pengurusan akaun; pada iOS, geolokasi latar belakang dilihat dan akses kepada rangkaian tempatan tanpa justifikasi yang jelas.
- Pendaftaran dan penjualan data: Model "percuma dan tidak terhad" biasanya berdasarkan telemetri, pengesan dan perjanjian dengan pihak ketiga untuk mengewangkan trafik atau pun jalur lebar pengguna.
- Penyulitan lemah atau simulasi: perpustakaan usang (OpenSSL terdedah) dan pengesahan sijil yang lemah membenarkan serangan dan kebocoran MITM.
- Kelegapan undang-undang: dasar privasi yang tidak lengkap atau tiada dan kekurangan audit luar untuk mengesahkan janji seperti dasar Tanpa Log.
Dalam beberapa kes cuba untuk menggunakan kebenaran peribadi pada iOS, akses mendalam kepada fungsi sistem yang melangkaui API awam. Walaupun sistem tidak selalu memberikan mereka, permintaan semata-mata sudah a isyarat penggera.
Kes dan angka yang membimbangkan
Tinjauan NordVPN baru-baru ini dalam United Kingdom menunjukkan bahawa 12% pengguna terus bergantung pada perkhidmatan percuma, walaupun pada hakikatnya tahap pengetahuan umum tentang VPN sudah ada 80% Antara sebabnya ialah penjimatan dan pencarian penyelesaian pantas untuk keperluan tertentu.
Pakar menunjukkan risiko tambahan: pembekal dengan ikatan negeri protokol legap dan lemah yang menyebabkan pengguna habis dijual Wi-Fi awam dan penilaian gedung aplikasi yang mengutamakan kemudahan penggunaan berbanding jaminan privasi. Apabila dijanjikan"percuma dan tidak terhad”, realitinya selalunya pengewangan data, jualan semula lebar jalur atau jualan meningkat secara agresif.
Beberapa analisis teknikal telah mendokumentasikan penggunaan perpustakaan pihak ketiga yang ketinggalan zaman, termasuk kehadiran baki Heartbleed dan isu penyematan sijil yang memudahkan serangan MITM. Ini adalah kelemahan asas yang tidak sepatutnya berterusan dalam perisian yang direka untuk melindungi komunikasi.
Ditambah kepada ini ialah kes Mobdro Pro IP TV + VPN, apl yang beredar di luar Google Play dan bertindak sebagai pemasang Trojan perbankan Klopatra. Melalui kejuruteraan sosial, penyerang mendapat kebenaran daripada Perkhidmatan Kebolehcapaian untuk mengawal peranti, mencuri bukti kelayakan dan mengendalikan akaun; telah didokumenkan sekitar 3.000 jangkitan dan penggunaan dua botnet untuk penyebarannya.
Risiko tambahan pada Android dan iOS
Pada Android, sesetengah pelanggan VPN meminta READ_LOGS (rekod bacaan) dan AUTHENTICATE_ACCOUNTS (pengurusan akaun dan token). Keizinan seperti ini boleh membuka pintu kepada kebocoran data sensitif sudah menjadi pemetaan terperinci aktiviti pengguna. The memuatkan sisi Ia juga meningkatkan pendedahan kepada kempen berniat jahat.
Pada iOS, permintaan telah diperhatikan untuk lokasi berterusan dan akses kepada rangkaian tempatan yang membolehkan anda mengimbas peranti berdekatan secara senyap. Menambah kepada masalah ini ialah kekurangan ketelusan: beberapa apl dianalisis tidak menyertakan pernyataan privasi yang mencukupi, yang menghalang persetujuan termaklum.
Pengesahan sijil yang salah dan ketiadaan penyematan sijil Tunai memudahkan serangan orang tengah, merendahkan "sambungan selamat" yang dikatakan sebagai saluran yang terdedah. Jika kita menambah itu kod kriptografi usang, risiko berganda.
Untuk perniagaan yang mempunyai dasar BYOD, VPN yang lemah boleh menjadi a risiko operasi: : Hanya memerlukan satu pelanggan yang terdedah untuk bukti kelayakan, komunikasi atau data korporat untuk didedahkan.
Cadangan untuk mengemudi dengan bijak
Corak umum pakar adalah jelas: elakkan VPN percumaTerdapat pengecualian yang jarang berlaku, dengan audit awam, tetapi ia bukan perkara biasa. Untuk mengurangkan risiko, adalah dinasihatkan untuk memilih perkhidmatan dengan dasar Tiada Log yang diaudit, ketelusan undang-undang dan ulasan bebas.
- Semak audit dan bidang kuasa: Dapatkan pengesahan luar No-Log, terbitkan tanggungjawab undang-undang yang jelas dan dasar pengekalan data.
- Semak kebenaran sebelum menerima: menafikan geolokasi di latar belakang dan akses kepada rangkaian tempatan jika mereka tidak wajar. Berhati-hati dengan permintaan yang bukan tujuan VPN.
- Tuntut penyulitan moden: mengutamakan protokol seperti WireGuard atau OpenVPN dan elakkan "proksi" yang dijual sebagai penyulitan.
- Pasang hanya dari kedai rasmi: Elakkan sumber yang tidak disahkan dan baca Dasar Privasi secara terperinci; cari kertas putih bebas dan ulasan.
- Konfigurasikan apl dengan betul: Aktifkan suis bunuh dan DNS anda sendiri, hadkan telemetri dan simpan pelanggan dikemaskinikan.
Bukti terkumpul meninggalkan sedikit ruang untuk keraguan: apabila perkhidmatan menjanjikan perlindungan pada kos sifar, pembayaran sebenar selalunya data andaAntara kelemahan teknikal, dasar legap dan kebenaran yang menyalahgunakan, VPN percuma boleh mendedahkan berjuta-juta; mendidik diri sendiri, menyemak setiap kebenaran dan memilih penyedia yang diaudit dan telus ialah cara terbaik untuk melindungi diri anda. melindungi privasi anda tiada kejutan.
