هشدار به کاربران و متولیان امنیت سایبری ایران:

گوگل‌پلی منبع فیلترشکن‌های‌ ناامن شده است

  • توسط نویسنده
  • ۱۰ روز پیش
  • ۰

آسیه فروردین

گزارش‌های اخیر به کاربران هشدار می‌دهد از نصب VPN‌های رایگان در پلی‌استور گوگل اجتناب کنند چراکه طبق این هشدار جدید، بیش از 2 میلیارد نصب برنامه، پرخطر شناسایی شده‌اند.

داده‌های به دست آمده در این گزارش به ویژه در ایران که میلیون‌ها کاربر در حال استفاده از انواع مختلف و همزمان چندین VPN یا فیلترشکن در گوشی و کامپیوترهای خود هستند، مساله‌ای جدی محسوب می‌شود. اگرچه هفته‌نامه عصر ارتباط پیش از این نیز به نقل از منابع امنیت سایبری خارجی، گزارش‌های متعددی در خصوص گسترش انواع بدافزار، باج‌افزار و جاسوس‌افزارها در پوشش فیلترشکن‌های رایگان منتشر کرده است، اما نتایج تحقیقات جدید نشان می‌دهد که نه تنها از میزان این تهدیدها در گوگل‌پلی به عنوان یکی منبع اصلی دریافت VPNها کم نشده، بلکه حتی در اقدامی گمراه‌کننده، زمینه برای نصب و استفاده بیشتر این تهدیدها از سوی کاربران نیز فراهم شده است.

یافته‌های جدید نشان می‌دهد که ظاهرا نوعی هماهنگی آگاهانه میان گوگل‌پلی با عرضه‌کنندگان انبوهی از فیلترشکن‌های ناامن که عمدتا نیز سازندگان آنها نامعلوم هستند، صورت گرفته است که این امر همانطور که پیشتر هم خطاب به متولیان حوزه سایبری کشور نوشته بودیم، نشان از تشدید تهدیدهای امنیت سایبری برای ایرانی‌ها دارد.

کمااینکه در بخشی از تحقیقات Top10VPN آمده است: «۹۳ درصد VPNهای رایگان اندروید در پلی‌استور دارای برچسب‌های ایمنی داده گمراه‌کننده بودند، در حالی که گوگل به‌راحتی می‌توانست قوانین خود را اجرا و بهتر از این، از مصرف‌کنندگان محافظت کند.»

زک دافمن در گزارشی برای نشریه فوربس نوشت؛ با وجود تلاش‌های فراوان گوگل، از جمله اپلیکیشن‌هایی که ظاهرا بازی را برای اندروید 15 تغییر داده‌اند، به نظر می‌رسد هشدارها از بین نمی‌روند. کمتر از دو هفته، پس از آنکه یک گزارش هشداردهنده از وضعیت بدافزار پلی‌استور به تیتر اصلی اخبار تبدیل شد، حالا این موضوع، دوباره مطرح شده است. این‌بار فقط قضیه بدافزار نیست، بلکه موضوع، فراتر از آن است. کاربران با بیش از 2 میلیارد نصب در 100 برنامه محبوب، باید بررسی و حذف آنها را شروع کنند.

بگذارید این موضوع را خیلی ساده بگوییم. از یک شبکه خصوصی مجازی (VPN) رایگان استفاده نکنید؛ نه اکنون، بلکه هرگز!

برای معدود افرادی که هنوز با وی‌پی‌ان‌ها آشنا نیستند و محبوبیت آنها همچنان رو به افزایش است، باید گفت این اپلیکیشن‌ها، آدرس IP و فعالیت مرورگر شما را از شبکه، ارائه‌دهنده خدمات اینترنت (ISP) یا هرکس که ممکن است گوش دهد، پنهان می‌کنند. این اپلیکیشن‌ها از دستگاه شما به یک سرور شخص ثالث و سپس از آنجا به اینترنت آزاد، تونل امن ایجاد می‌کنند.

  • گسترش تمایل به فیلترشکن‌ها

وی‌پی‌ان‌ها، در دنیای اعتراضات و تهدیدات علیه مخالفان، وکلا، فعالان، روزنامه‌نگاران و نیز کشورهایی که استفاده از اپلیکیشن‌ها و پلتفرم‌های خاص را محدود کرده‌اند، یک راه نجات هستند. در حالی که برخی کشورها، به دلخواه اپلیکیشن‌ها را مسدود می‌کنند، VPN‌ها دلیلی هستند که کاربران این کشورها همچنان می‌توانند به اینترنت دسترسی داشته باشند.

یک VPN برای اینکه موثر عمل کند، به شبکه‌ای از سرورها در سراسر جهان نیاز دارد که کاربران را قادر می‌سازد یا به سرور محلی یا به سروری که می‌تواند تصویری از موقعیت مکانی ارائه دهد، متصل شوند و یک آدرس IP واقعی را با یک نفر در کشور دیگر جایگزین کنند. برای مثال، اگر شما در بریتانیا زندگی کنید و به سرور ایالات متحده متصل ‌شوید، می‌توانید در اینترنت آزاد، این‌طور به نظر برسید که 3000 مایل از خانه‌تان فاصله دارید.

البته وی‌پی‌ان همیشه هنگام استفاده از برنامه‌ها در تلفن همراه شما کار نمی‌کند، زیرا هر کس که سعی در برهم‌زدن محدودیت‌های پخش جغرافیایی دارد ممکن است متوجه شود. لذا راه‌های دیگر برای بررسی موقعیت مکانی شما توسط یک اپلیکیشن در دستگاه وجود دارد؛ البته روش‌هایی برای دور زدن چنین محدودیت‌هایی وجود دارد اما نه برای اشتراک‌گذاری.

  • فاجعه فیلترشکن‌های رایگان

به طور معمول، وی‌پی‌ان‌های قانونی هزینه دریافت می‌کنند یا به همراه سایر محصولات امنیتی پولی ارائه می‌شوند. با این حال اکثر VPNها رایگان باقی می‌مانند و این، یک طنز عالی است. چراکه مدل کسب‌وکار اقتصادی برای ارائه رایگان یک اپلیکیشن، جمع‌آوری مکان، دستگاه و سایر داده‌ها یا ارائه تبلیغات به شماست؛ البته اگر خوش شانس باشید. اگر بدشانس هستید، مدل کسب و کار این است که گوشی خود را با بدافزار آلوده کنید و اعتبار ورود به سیستم یا اطلاعات خصوصی را به سرقت ببرید.

شرکت Top10VPN (فعال در حوزه بررسی و آزمایش خدمات وی‌پی‌ان)، یه تازگی، طی گزارشی به میلیون‌ها کاربر اندروید که به نادرستی معتقدند تلفن‌های خود را ایمن کرده‌اند، هشدار داده است.

در این هشدار آمده که اخیرا «100 مورد از محبوب‌ترین برنامه VPN رایگان اندروید در پلی‌استور گوگل‌ را با 2.5 میلیارد نصب در سراسر جهان آزمایش کرده است. هدف این است که به شما کمک کند از استفاده از VPNهای رایگان بالقوه ناامن که حریم خصوصی و امنیت شما را به خطر می‌اندازند، اجتناب کنید.»

طبق هشدارها، تقریبا هرکدام از آن VPNها، یک فاجعه حریم خصوصی یا امنیتی یا هردو است. برخی از مسائلی که در گزارش یادشده به آن اشاره شده، عبارتند از:

  • بیش از 10 درصد اپلیکیشن‌ها، «از اشکالات رمزگذاری رنج می‌برند؛ از قرار گرفتن در معرض کل فعالیت‌های اینترنتی تا لو رفتن جزییات ‌سایت‌های بازدیدشده.»
  • تقریبا 90 درصد اپلیکیشن‌ها، «از نوعی نشت رنج می‌برند؛ از جمله 17 وی‌پی‌ان که بیش از داده‌های درخواست DNS نشت می‌کردند» در حالی که بیش از 50 درصد، «نشانه‌هایی از ناپایداری تونل VPN را نشان دادند.»
  • تقریبا 70 درصد اپلیکیشن‌ها، «حداقل یک مجوز تهدید حریم خصوصی مانند ردیابی موقعیت مکانی (20 درصد) و اسکن برنامه‌های نصب‌شده (46 درصد) را درخواست کردند.
  • بیش از 80 درصد اپلیکیشن‌ها، حاوی «کیت‌های توسعه نرم‌افزار» (SDK) از پلتفرم‌های بازاریابی یا رسانه‌های اجتماعی بودند. 16 وی پی‌ان، حاوی 10 یا بیشتر SDK بود.
  • تقریبا یک مورد از هر سه اپلیکیشن، از درخواست‌های مجوز سوءاستفاده می‌کند و به دنبال دسترسی به دوربین‌ها یا اطلاعات موقعیت مکانی دقیق است که برای عملکرد اصلی آن مورد نیاز نیست.
  • تقریبا سه‌چهارم اپلیکیشن‌ها، «داده‌های شخصی را با نهادهای ثالث مانند فیس‌بوک، یاندکس و کارگزاران داده مانند کوچاوا (Kochava) به اشتراک گذاشتند. مانند اثر انگشت دستگاه (37 وی‌پی‌ان)، آدرس‌های IP (23 وی‌پی‌ان) و شناسه‌های ردیابی منحصربه‌فرد (61 وی‌پی‌ان).
  • و نگران‌کننده‌ترین بخش این است که «تقریبا یک‌پنجم (19 درصد)، از اپلیکیشن‌های VPN تست‌شده توسط اسکنرهای ضدویروس به عنوان بدافزار شناخته شدند «که این موضوع برای یک اپلیکیشن امنیتی، واقعا تناقض‌آمیز است.»

مقیاس بزرگ رشد استفاده از VPN‌ها این نقص‌ها را بحرانی می‌سازد؛ همان‌طور که Top10VPN اظهار می‌کند: «۱۰۰ اپلیکیشن رایگان VPN محبوب اندروید، در سال ۲۰۱۸ حدود ۲۶۰ میلیون نصب داشتند. امروز، این عدد، فراتر از ۲.۵ میلیارد است.»

  • 6 میلیارد کاربر VPN در دنیا

گزارش فوربس نشان می‌دهد اکنون ۱.۶ میلیارد کاربر وی‌پی‌ان، در سراسر جهان وجود دارد. بنابراین جای تعجب نیست که گوگل از طریق اعتباربخشی به این اپلیکیشن‌ها، آنها را برای شناسایی رفتار ویژه، لحاظ کرده تا به کاربران اطمینان دهد این اپلیکیشن‌ها مشروع هستند.

در این زمینه، Top10VPN، آزمایش خود را با نصب هر وی‌پی‌ان «روی تلفن‌های هوشمند بسیار ابتدایی سامسونگ که از همه اپلیکیشن‌های موجود به جز ابتدایی‌ترین برنامه‌ها حذف شده بودند»، انجام داد.

طبق این گزارش، «نتایج، هشداردهنده بود. تعداد قابل‌ توجهی از این اپلیکیشن‌های فیلترشکن، حریم خصوصی و امنیت ما را به دلیل شکست‌های جدی در رمزگذاری و نشت داده‌ها به خطر می‌اندازند لذا جای تعجب نیست که اکثر ارائه‌دهندگان VPN رایگان، برای پوشش هزینه‌ها به تبلیغات یا کسب درآمد از داده‌های کاربر خود متکی هستند و امیدواریم این کار را انجام دهند. سود، اساسا با کل هدف وی‌پی‌‌ان در تضاد است.»

  • آینده VPN‌ها در پلی‌استور

چشم‌انداز خوبی برای پلی‌استور نمی‌توان متصور شد.

سایمون میگلیانو، رئیس تحقیقات  Top10VPNمی‌گوید: «گوگل سابقه خوبی در حفظ استاندارد بالای اپلیکیشن‌های وی‌پی‌ان در پلی‌استور ندارد. من اولین بار در سال ۲۰۱۸، تحقیق درباره VPNهای رایگان اندروید را آغاز کردم و اگر چیزی تغییر کرده باشد، استاندارد اپلیکیشن‌ها حتی از آن زمان، بدتر شده است. نکته جالب توجه اینکه ۹۳ درصد VPNهای رایگان اندروید در پلی‌استور دارای برچسب‌های ایمنی داده گمراه‌کننده بودند، در حالی که گوگل به‌راحتی می‌توانست قوانین خود را اجرا و بهتر از این، از مصرف‌کنندگان محافظت نماید.»

من به گوگل مراجعه کرده‌ام تا دیدگاهش را درباره این گزارش جویا شوم. با توجه به وضعیت این نرم‌افزارها که در بخش امنیتی پلی‌استور نمایان شده‌اند، خواندن آن گیج‌کننده است اما جزییات، کمتر از نتایج، مهم هستند. پس توصیه من این است که از VPNهای رایگان استفاده نکنید، به فهرست‌های معتبر پایبند باشید و ترجیحا از یک برند شناخته‌شده استفاده کنید. گزینه‌های ارزان‌تر یا حتی نزدیک به رایگان وجود دارند اما این جایگزین‌ها، به شدت عملکرد را تضعیف می‌کنند. اگر نمی‌خواهید هیچ‌گونه هزینه‌ای پرداخت کنید، زحمت استفاده از VPN را به خود ندهید. متاسفانه، قضیه واقعا به همین‌ سادگی است.

  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *