کشف حفره‌های امنیتی در اپلیکیشن‌های رایگان VPN

یک مطالعه گسترده روی اپلیکیشن‌های رایگان شبکه خصوصی مجازی (VPN) نشان داده است که بسیاری از این برنامه‌ها نه‌تنها امنیت و حریم خصوصی کاربران را تضمین نمی‌کنند، بلکه خطرات جدی برای مصرف‌کنندگان و سازمان‌ها ایجاد می‌کنند.

این تحلیل که توسط آزمایشگاه Zimperium zLabs انجام شده، ۸۰۰ اپلیکیشن VPN موجود در اندروید و iOS را مورد بررسی قرار داده و نشان داده است که بخش زیادی از آن‌ها از ارائه حفاظت واقعی به کاربران ناتوان هستند.

ضعف‌های بزرگ در امنیت و حریم خصوصی

گزارش با عنوان "کاوش عمیق‌تر: بررسی چشم‌انداز تهدیدات VPN" نشان می‌دهد که اپلیکیشن‌های رایگان VPN در بسیاری مواقع بیش از آن‌که از کاربران محافظت کنند، آن‌ها را در معرض خطر قرار می‌دهند.

برخی از یافته‌های کلیدی این تحقیق شامل موارد زیر است:

استفاده از کتابخانه‌های آسیب‌پذیر و قدیمی مانند نسخه‌های قدیمی OpenSSL که هنوز در برابر حفره معروف Heartbleed آسیب‌پذیرند.

حدود ۱درصد از اپ‌ها امکان حملات Man-in-the-Middle (MitM) را فراهم می‌کردند که به مهاجمان اجازه می‌دهد ترافیک کاربران را شنود و رمزگشایی کنند.

تقریباً ۲۵درصد از اپ‌های iOS فاقد privacy manifest معتبر بودند که از الزامات اصلی اپل محسوب می‌شود.

بسیاری از این اپلیکیشن‌ها مجوزهای بیش‌ازحدی مانند دسترسی به میکروفون، موقعیت مکانی یا لاگ‌های سیستمی را درخواست کرده‌اند.

تهدید بزرگ‌تر برای سازمان‌ها و دورکارها

این مطالعه هشدار می‌دهد که سازمان‌هایی با سیاست "استفاده از دستگاه شخصی در محیط کار" (BYOD) در معرض خطر بیشتری قرار دارند. حتی اپلیکیشن‌های VPN پرطرفدار هم می‌توانند به نقاط ضعف جدی در امنیت سازمان‌ها تبدیل شوند و داده‌های حساس شرکت‌ها را فاش کنند.

دیوید ماتالون، مدیرعامل Venn، گفت:

 "با افزایش کار از راه دور، کارمندان نه تنها از تلفن‌های شخصی، بلکه از لپ‌تاپ‌های شخصی خود هم روی شبکه‌های ناامن استفاده می‌کنند. محیط سنتی امنیتی از بین رفته و واقعیت BYOD نیازمند تغییر راهبردی است: از محافظت از دستگاه به سمت محافظت از خود کار."

او افزود:  VPNها همچنان نقشی حیاتی در ایمن‌سازی و ناشناس‌سازی ارتباطات شبکه دارند، اما می‌توانند حس امنیت کاذب ایجاد کنند.

نیاز به رویکردهای امنیتی قوی‌تر

بر اساس گزارش، بیش از ۶درصد از اپلیکیشن‌های iOS دسترسی به مجوزهای سیستمی خصوصی (private entitlements) را درخواست کرده‌اند که می‌تواند دسترسی عمیقی به سیستم‌عامل بدهد.

براندون تاربت، مدیر بخش IT و امنیت در Menlo Security، گفت: "سازمان‌ها نیازمند یک پاسخ چندلایه هستند. مدیریت و دید در سطح نقطه پایانی ضروری است، اما چیزی که به‌سرعت به یک الزام تبدیل شده، امنیت داده‌ها در سطح محتوای وب است."

جیمز ماد، مدیر ارشد فناوری در BeyondTrust نیز تأکید کرد که فناوری‌های VPN مدت‌هاست چالش‌های امنیتی برای سازمان‌ها ایجاد کرده‌اند و اکنون رویکرد zero-trust ضروری است، چرا که دسترسی VPN به‌محض compromise شدن می‌تواند به مهاجمان امکان گسترش حملات در سراسر شبکه را بدهد.

ویشرات اینگار، مدیر ارشد راهکارها در Black Duck، هشدار داد: «امروز با واقعیتی نگران‌کننده روبه‌رو هستیم: بسیاری از اپلیکیشن‌های موبایلی سازمانی هنوز فاقد حفاظت‌های پایه مانند مبهم‌سازی کد، ذخیره‌سازی ایمن و استفاده از کتابخانه‌های به‌روز هستند.»