Nghiên cứu cảnh báo: Hàng trăm ứng dụng VPN miễn phí trên Android tiềm ẩn nguy cơ rò rỉ dữ liệu
Một nghiên cứu mới trên 281 ứng dụng VPN miễn phí phổ biến nhất trên Google Play Store cho thấy nhiều lỗ hổng nghiêm trọng, từ rò rỉ lưu lượng truy cập đến việc theo dõi người...
Một nhóm các nhà nghiên cứu từ Đại học Michigan, Đại học New Mexico và IIT Delhi vừa công bố kết quả kiểm định 281 ứng dụng VPN miễn phí phổ biến nhất trên Google Play Store. Sử dụng khung kiểm thử mới có tên MVPNalyzer, nghiên cứu chỉ ra rằng hàng tỷ lượt cài đặt đang đối mặt với các rủi ro bảo mật cơ bản nhưng vô cùng nghiêm trọng.
Table Of Content
Lỗ hổng nghiêm trọng: Hijacking đường truyền
Đáng báo động nhất là 5 ứng dụng tải tệp cấu hình (configuration file) qua kết nối không mã hóa. Điều này cho phép kẻ tấn công trên cùng mạng Wi-Fi có thể can thiệp, thay đổi tệp tin và điều hướng toàn bộ lưu lượng truy cập của người dùng sang một server do chúng kiểm soát. Mặc dù người dùng vẫn thấy trạng thái “đã kết nối”, nhưng thực tế mọi dữ liệu đều đã bị chuyển hướng.
Rò rỉ dữ liệu và thiếu khả năng ẩn danh
Nghiên cứu phát hiện 29 ứng dụng để lộ lưu lượng truy cập ra ngoài đường hầm mã hóa (tunnel). Trong đó, 24 ứng dụng làm rò rỉ truy vấn DNS, khiến các trang web người dùng truy cập bị lộ diện. Ngoài ra, 61 ứng dụng gửi dữ liệu dưới dạng văn bản thuần (plain text), tạo điều kiện cho bất kỳ ai giám sát mạng có thể đọc được nội dung.
Đáng chú ý, 169 ứng dụng không hề che giấu lưu lượng truy cập của mình, khiến các nhà cung cấp mạng hoặc hệ thống kiểm duyệt có thể dễ dàng nhận diện và chặn đứng, trái ngược hoàn toàn với quảng cáo về việc “vượt tường lửa” của chính các ứng dụng này.
Theo dõi người dùng và cấu hình yếu kém
Dù mục đích chính của VPN là bảo mật, nhưng 76 ứng dụng trong danh sách đã gửi Advertising ID của thiết bị để theo dõi người dùng. Hơn 80% ứng dụng liên lạc với các server quảng cáo và thu thập thông tin như model điện thoại, phiên bản hệ điều hành, thậm chí là tọa độ GPS.
Về mặt kỹ thuật, các cấu hình OpenVPN cũng cho thấy sự yếu kém: 89% chỉ sử dụng một phương thức xác thực duy nhất, và gần 20% sử dụng các thuật toán mã hóa lỗi thời như Blowfish hoặc Triple DES, vốn đã tồn tại các lỗ hổng (CVE-2016-6329, CVE-2016-2183) cho phép kẻ tấn công khôi phục dữ liệu.
Lời khuyên cho người dùng
Các chuyên gia cảnh báo rằng nhãn “Verified” hay các tuyên bố “no-logs” trên Play Store hiện nay mang tính chất tiếp thị nhiều hơn là một cam kết bảo mật thực sự. Người dùng nên:
- Ưu tiên các nhà cung cấp có báo cáo kiểm định bảo mật độc lập gần đây.
- Cảnh giác với các ứng dụng miễn phí chứa quá nhiều quảng cáo.
- Hiểu rằng việc sử dụng VPN miễn phí đồng nghĩa với việc chuyển niềm tin từ nhà mạng sang nhà phát triển ứng dụng, vốn thường không được kiểm chứng kỹ lưỡng.
Nguồn tham khảo: The Hacker News


No Comment! Be the first one.