En ny studie hävdar att 18 av de 100 mest nedladdade VPN-apparna på Google Play i själva verket hör ihop i tre stora grupper, trots att de marknadsförs som oberoende tjänster. Studien pekar inte ut några av de tjänster som brukar listas som de bästa VPN-alternativen, men de undersökta apparna är populära och har tillsammans laddats ner över 700 miljoner gånger enbart på Android.
Studien, publicerad i tidskriften Privacy Enhancing Technologies Symposium (PETS), visar inte bara att de aktuella apparna undanhållit information om ägarförhållanden, utan också att deras gemensamma infrastruktur innehåller allvarliga säkerhetsbrister. Kända tjänster som Turbo VPN, VPN Proxy Master och X-VPN visade sig vara sårbara för attacker som kan avslöja användarnas surfhistorik och till och med injicera skadlig data.
VPN-appar
Artikeln, med titeln “Hidden Links: Analyzing Secret Families of VPN apps”, inspirerades av en granskning från VPN Pro, som visade att flera bolag sålde flera VPN-appar utan att redovisa kopplingarna mellan dem. Forskarna bakom “Hidden Links” ville undersöka om dessa dolda släktband gick att dokumentera systematiskt.
Genom att utgå från listan över de mest nedladdade VPN-apparna på Android samlade forskarna in information från företagsdokument, webbplatser och apparnas kodbas, och analyserade likheterna. Resultatet blev att 18 appar kunde delas in i tre grupper.
Familj A omfattar Turbo VPN, Turbo VPN Lite, VPN Monster, VPN Proxy Master, VPN Proxy Master Lite, Snap VPN, Robot VPN och SuperNet VPN. Dessa appar fördelas mellan tre leverantörer – Innovative Connecting, Lemon Clove och Autumn Breeze – som alla har kopplats till Qihoo 360, ett kinesiskt företag som USA:s försvarsdepartement identifierat som ett “kinesiskt militärbolag”.
Familj B inkluderar Global VPN, XY VPN, Super Z VPN, Touch VPN, VPN ProMaster, 3X VPN, VPN Inf och Melon VPN. De delas mellan fem olika leverantörer men använder samma IP-adresser från samma hostingföretag.
Familj C består av X-VPN och Fast Potato VPN. Även om dessa två har olika leverantörer visade de sig använda mycket liknande kod och ett identiskt egenutvecklat VPN-protokoll.
Problem
För användare innebär detta två stora problem. För det första är det en allvarlig förtroendefråga att företag som hanterar privata aktiviteter och känsliga data inte är ärliga om ägare, ursprung eller vilka de delar informationen med. För det andra är apparna tekniskt osäkra. Alla 18 använder Shadowsocks-protokollet med ett hårdkodat lösenord, vilket gör dem sårbara för kapning både från serversidan (för spridning av skadlig kod) och från klientsidan (för avlyssning av surfaktivitet).
En VPN-tjänst som ljuger om sitt ursprung och samtidigt bygger på osäker infrastruktur visar i grunden på samma problem: apparna är inte designade för att hålla användaren säker på nätet. Eftersom de dessutom listas som separata produkter blir det uppenbart att appbutikerna inte är något effektivt skydd. “Hidden Links”-studien gör det tydligare än någonsin att du aldrig bör ladda ner en gratis VPN utan att noga granska den – och att endast använda kostnadsfria VPN-tjänster som backas upp av betalabonnemang.
Källa:
Privacy Enhancing Technologies Symposium (PETS)
Nästan en tredjedel av alla VPN-företag ägs i hemlighet av kinesiska bolag
