Vedci preverili stovky VPN aplikácií pre Android. Desiatky z nich prezrádzali údaje, ktoré mali chrániť
Vedci otestovali 281 VPN aplikácií pre Android. Desiatky z nich prepúšťali dáta mimo zabezpečeného tunela alebo ich posielali tretím stranám.
VPN služby si získali veľkú popularitu najmä medzi ľuďmi, ktorí chcú lepšie chrániť svoje súkromie na internete. Reklamy často sľubujú anonymitu, bezpečnejšie pripojenie či ochranu pred sledovaním. Nový výskum však ukázal, že realita nemusí vždy zodpovedať týmto tvrdeniam.
Vedci z Michiganskej univerzity otestovali stovky populárnych VPN aplikácií pre Android a narazili na viacero nepríjemných zistení. Mnohé aplikácie podľa nich neposkytli úroveň ochrany, ktorú sľubovali používateľom, informuje Techxplore.
Výskumníci pritom využili nový nástroj s názvom MVPNalyzer, ktorý dovolil automaticky analyzovať veľké množstvo mobilných VPN aplikácií. Podľa autorov išlo o prvý systém svojho druhu, ktorý zvládol podobnú kontrolu vo veľkom rozsahu.
Desiatky aplikácií prezradili údaje mimo VPN
Úlohou VPN zostáva presmerovanie internetovej komunikácie cez zabezpečený tunel. Vďaka tomu sa skryje IP adresa používateľa a výrazne sa obmedzí možnosť sledovania jeho aktivity. Výsledky výskumu však naznačili, že nie všetky aplikácie tento cieľ splnili. Vedci otestovali 281 populárnych VPN aplikácií pre Android. Až 29 z nich prepustilo DNS požiadavky alebo internetovú komunikáciu mimo VPN tunela, čím prakticky popreli hlavný dôvod, prečo si ich ľudia nainštalovali.

Okrem toho viac ako pätina testovaných aplikácií prenášala časť údajov bez šifrovania a viac než 60 % neponúklo ani základné bezpečnostné opatrenia, ktoré dnes odborníci považujú za štandard.
Neprehliadni
„Mnohí ľudia sa spoliehajú na VPN kvôli súkromiu a bezpečnosti, no množstvo aplikácií nezabezpečilo ani základnú ochranu. Chceli sme ukázať, čo sa v skutočnosti odohráva na pozadí,“ hovorí jedna z autorov výskumu, Roya Ensafi.
Výskumníci objavili aj ďalší problém. Celkovo 61 VPN aplikácií odoslalo časť komunikácie mimo zabezpečeného tunela alebo úplne bez šifrovania. Medzi prenesenými údajmi sa objavili aj konfiguračné súbory či informácie, ktoré obsahovali geolokáciu používateľa.
Takéto údaje môžu v nesprávnych rukách poslúžiť na sledovanie používateľa alebo uľahčiť rôzne druhy kybernetických útokov.
Analýza zároveň ukázala, že 76 aplikácií odoslalo identifikátory zariadenia tretím stranám. Išlo napríklad o reklamné identifikátory alebo ďalšie údaje, ktoré umožnia dlhodobé sledovanie konkrétneho zariadenia. To ide priamo proti jednému z hlavných dôvodov, prečo si veľa ľudí VPN vôbec zaobstará.
Slabé nastavenia predstavujú ďalší problém
Vedci sa nepozreli iba na samotnú komunikáciu aplikácií. Skontrolovali aj ich vnútorné nastavenia. Zo 108 aplikácií, pri ktorých získali konfiguračné súbory, až 107 využilo nevhodné alebo zastarané bezpečnostné nastavenia. V mnohých prípadoch chýbalo správne overovanie alebo aplikácie využili slabšie šifrovacie mechanizmy, než odporúčajú súčasné bezpečnostné štandardy.
To ešte automaticky neznamená, že každú z týchto aplikácií niekto napadne. Takéto nastavenia však zbytočne zvyšujú riziko bezpečnostných problémov.
Vývojári vytvorili MVPNalyzer práve preto, že doterajšie testy VPN služieb skúmali iba jednotlivé prípady alebo sa sústredili najmä na počítačové verzie aplikácií.
Nový systém automaticky preverí viacero vrstiev komunikácie naraz. Zameria sa napríklad na to, či aplikácia:
- správne presmeruje internetovú komunikáciu cez VPN
- neprepustí údaje mimo zabezpečeného tunela
- využije dostatočne bezpečné šifrovanie
- neodošle citlivé informácie tretím stranám
- naozaj splní svoje marketingové sľuby
„Automatická analýza nám dovolila odhaliť zraniteľnosti, ktoré zasiahli milióny používateľov, a zároveň zvýšila zodpovednosť vývojárov za ich aplikácie,“ hovorí spoluautor výskumu, Aaron Ortwein.

Vedci nechceli spochybniť všetky VPN služby
Autori výskumu upozornili, že cieľom práce nebolo spochybniť všetky VPN služby. Skôr chceli poukázať na to, že medzi jednotlivými aplikáciami existujú výrazné rozdiely. Nový nástroj môže v budúcnosti poslúžiť nielen výskumníkom, ale aj regulačným úradom či samotným vývojárom. Tí získajú možnosť odhaliť chyby ešte pred vydaním novej verzie aplikácie.
Pre bežného používateľa z toho vyplýva jednoduché ponaučenie. Samotný nápis „VPN“ ešte automaticky nezaručí vysokú úroveň ochrany súkromia. Pri výbere sa preto oplatí sledovať povesť služby, nezávislé bezpečnostné audity aj transparentnosť vývojára. Práve tieto faktory často prezradia viac než marketingové sľuby na stránke aplikácie.