كشف تقرير جديد أن ما يقرب من 90% من خدمات الشبكات الافتراضية الخاصة VPN المجانية على متجر تطبيقات أندرويد "بلاي ستور"؛ تسرّب بيانات أكثر من ملياريّ مستخدم.
وحسب تقرير نشرته مؤسسة Top10VPN، فإن أكثر من ثلثيّ تطبيقات VPN المجانية على أندرويد تشارك معلومات مستخدميها مع أطراف ثالثة، وأكثر من نصفها يحتوي على مخاطر محتملة تنتهك الخصوصية، مشيراً إلى أن التطبيقات التي خضعت للاختبارات تم تحميلها 2.5 مليار مرة حول العالم.
قضى رئيس قسم الأبحاث، سايمون ميجلانو، أكثر من شهرين في تحليل أفضل 100 تطبيق VPN مجاني لنظام أندرويد، واختبر بروتوكولات التشفير الخاصة بها، والأذونات التي تحصل عليها تلك التطبيقات على متن هواتف المستخدمين، إلى جانب عمليات التتبع التي تتم بواسطة أطراف ثالثة، وأنواع تسريبات البيانات الشائعة، وغيرها من أشكال انتهاك خصوصية الموظفين دون علمهم.
وقال ميجلانو: "سوق خدمات VPN المجانية يرتبط دائماً بتطبيقات ذات جودة رديئة، هدفها الوحيد هو تحقيق إيرادات من الإعلانات للمطورين.. وكان هذا هو الحال عندما بدأت تحقيقي قبل ست سنوات، وقد ازداد الأمر سوءاً منذ ذلك الحين".
وأشار رئيس الأبحاث في الشركة الأمنية إلى أنه خلال الدراسة اكتشف وجود أشكال متنوعة للخلل في طريقة تشفير البيانات داخل التطبيقات المجانية لـVPN، إلى جانب انتهاكات صريحة للخصوصية، وتتراوح الانتهاكات المكتشفة بين كشف كامل لنشاط المستخدم على الإنترنت، وصولاً إلى تسريب تفاصيل المواقع التي تمت زيارتها.
أوضح التقرير أن إجراءات التشفير المتبعة من جانب التطبيقات المجانية ضعيفة بشكل مُخل، فعلى سبيل المثال، لا يزال أربعة مقدمي خدمات يستخدمون بروتوكول SSLv2 البالغ من العمر 30 عاماً، لتمرير بيانات التصفح بشكل آمن، بدلاً من استخدام IKEv2/IPsec الأقوى، كذلك فإن حوالي 35 تطبيقاً من تطبيقات VPN المجانية تُشفر حركة المرور بتقنية 128 بت بدلاً من معيار الصناعة 256 بت.
وأوضح ميجلانو أن 90% من التطبيقات محل الدراسة اكتُشف أنها تُسرب بيانات المستخدم بشكل غير مقبول، وتضمن ذلك تفاصيل العنوان التعريفي IP Address، وطلبات DNS التي ترسلها أجهزة المستخدمين لزيارة مواقع الويب، وكذلك محتوى محادثات الفيديو والمحتوى المصور عبر بروتوكول WebRTC.
VPN وخصوصية مزيفة
أشار التقرير إلى أن نسبة كبيرة من التطبيقات المجانية لـ VPN محل الدراسة تحصد كماً هائلاً من البيانات من هواتف المستخدمين، من خلال الأذونات التي يحصلون عليها بمجرد تثبيتهم على أجهزة المستخدمين، على الرغم من أن ذلك يتناقض تماماً مع فكرة الخدمة القائمة على منح مستخدمها طبقة قوية من الخصوصية.
كما أوضح التقرير أن 69 تطبيقاً من أصل 100 تطبيق طلبت على الأقل واحدة من هذه الأذونات عالية المخاطر، فعلى سبيل المثال 20 تطبيقاً حرصت على تتبع موقع مستخدميهم، إلى جانب 9 تطبيقات سعت لجمع بيانات حساسة من هواتف المستخدمين، و10 تطبيقات استخدمت إذن الوصول للكاميرا، و46 تطبيقاً فحص التطبيقات المثبتة على الهواتف، بينما 82 تطبيقاً استهدفت تتبع الإعلانات.
أكد ميجلانو أن أكثر نتيجة إثارة للقلق من نتائج الدراسة هي أن 54% من مقدمي خدمات VPN المجانية، أقدموا عمداً على تضمين أسطر كودية عند برمجة خدماتهم، لجمع البيانات وتتبع المستخدمين.
في الوقت نفسه، أشاد التقرير بخدمات BeePass، وUrban VPN، وLeaf VPN، وHide My IP، بأنها كانت الخدمات الوحيدة في عينة الدراسة التي لم تتضمن أي مخالفات لخصوصية مستخدميها، وعملت على الحفاظ على سلامتهم الرقمية بشكل كامل.