งานวิจัยใหม่ได้เปิดเผยปัญหาด้านความปลอดภัยร้ายแรงในแอปพลิเคชัน VPN ยอดนิยม 8 แอปที่ให้บริการผู้ใช้มากกว่า 700 ล้านคนทั่วโลก การศึกษานี้เผยให้เห็นว่าแอปเหล่านี้มีช่องโหว่ด้านความเป็นส่วนตัวที่สำคัญ และมีความเชื่อมโยงที่น่าเป็นห่วงกับกองกำลังทหารของจีน
งานวิจัยที่ดำเนินการโดย Benjamin Mixon-Baca และเพื่อนร่วมงาน ได้ตรวจสอบแอป VPN ยอดนิยม 32 แอปใน Google Play Store ผลการวิจัยแสดงให้เห็นว่าแม้ VPN จะสัญญาว่าจะปกป้องความเป็นส่วนตัวของผู้ใช้ แต่ผู้ให้บริการเชิงพาณิชย์หลายรายดำเนินงานด้วยความโปร่งใสที่น่าสงสัยและทำให้ผู้ใช้เสี่ยงต่ออันตรายอย่างมาก
ขอบเขตการวิจัย:
- วิเคราะห์แอป VPN ยอดนิยม 32 แอป
- ตรวจสอบผู้ให้บริการ VPN ที่ดูเหมือนแยกจากกัน 21 ราย
- มียอดดาวน์โหลดรวมกันใน Google Play Store มากกว่า 1 พันล้านครั้ง
- ผู้ใช้หลักอยู่ใน: India , Indonesia , Russia , Pakistan , Saudi Arabia , Turkey , UAE , Bangladesh , Egypt , Algeria , Singapore และ Brazil
 |
|---|
| บทความที่เน้นการวิจัยเกี่ยวกับช่องโหว่ด้านความปลอดภัยของ VPN และความสำคัญของความโปร่งใสในอุตสาหกรรม VPN |
ปัญหาความไว้วางใจกับ VPN เชิงพาณิชย์
ชุมชนเทคโนโลยีได้ถกเถียงกันมานานว่า VPN เชิงพาณิชย์สามารถส่งมอบสิ่งที่สัญญาด้านความปลอดภัยได้จริงหรือไม่ ผู้ใช้หลายคนซื้อบริการ VPN โดยอิงจากการอ้างสิทธิ์ทางการตลาดที่คลุมเครือเกี่ยวกับการป้องกันการขโมยตัวตน หรือความจำเป็นในการใช้เพื่อความปลอดภัย โดยไม่เข้าใจว่าพวกเขากำลังซื้ออะไรจริงๆ ความจริงก็คือการใช้ VPN หมายถึงการโอนความไว้วางใจจากผู้ให้บริการอินเทอร์เน็ตของคุณไปยังบริษัท VPN ซึ่งเป็นการตัดสินใจที่มีผลกระทบร้ายแรง
การอภิปรายในชุมชนเผยให้เห็นว่าคนส่วนใหญ่ใช้ VPN เพื่อวัตถุประสงค์ในทางปฏิบัติ เช่น การเข้าถึงเนื้อหาที่ถูกบล็อกตามพื้นที่ การหลีกเลี่ยงการร้องเรียนจาก ISP เกี่ยวกับการ torrent หรือการข้ามข้อจำกัดในที่ทำงาน อย่างไรก็ตาม การตลาดมักจะเน้นไปที่การอ้างสิทธิ์ด้านความปลอดภัยที่อิงจากความกลัว ซึ่งอาจไม่ตรงกับการปกป้องที่ให้จริง
ช่องโหว่ด้านความปลอดภัยร้ายแรงที่ค้นพบ
แอป VPN ที่มีปัญหาประกอบด้วยข้อบกพร่องด้านความปลอดภัยที่สำคัญหลายประการที่บ่อนทำลายวัตถุประสงค์พื้นฐานของมัน ซึ่งรวมถึงรหัสผ่านที่ฮาร์ดโค้ดไว้และใช้ร่วมกันระหว่างผู้ใช้ทุกคน ทำให้ผู้โจมตีสามารถถอดรหัสการรับส่งข้อมูล VPN สำหรับทุกคนที่ใช้บริการได้ แอปเหล่านี้ยังใช้ Shadowsocks สำหรับการสร้างอุโมงค์ ซึ่งออกแบบมาเพื่อข้ามการเซ็นเซอร์มากกว่าการให้ความลับ
สิ่งที่น่าเป็นห่วงที่สุดคือ VPN เหล่านี้มีช่องโหว่ต่อการโจมตีที่ผู้ร้ายสามารถดักฟังและแก้ไขการสื่อสารของผู้ใช้โดยไม่ถูกตรวจพบ แอปบางตัวยังเก็บข้อมูลตำแหน่งของผู้ใช้แม้จะอ้างว่าไม่ได้รวบรวมข้อมูลนี้
ช่องโหว่ด้านความปลอดภัยที่สำคัญที่พบ:
- รหัสผ่านที่ฮาร์ดโค้ดไว้และใช้ร่วมกันทั่วทุกผู้ใช้
- การใช้ Shadowsocks สำหรับการสร้างอุโมงค์ (ออกแบบมาเพื่อการเข้าถึง ไม่ใช่เพื่อความลับ)
- ความเสี่ยงต่อการโจมตีแบบ blind-in/on-path ทั้งฝั่งไคลเอนต์และเซิร์ฟเวอร์
- การดึงข้อมูลตำแหน่งของผู้ใช้แม้จะอ้างว่าปกป้องความเป็นส่วนตัว
- ความสามารถของผู้โจมตีในการลบการเข้ารหัสและถอดรหัสการรับส่งข้อมูล VPN
ความเชื่อมโยงกับกองทัพจีนสร้างความตกใจ
งานวิจัยระบุกลุ่มผู้ให้บริการ VPN สองกลุ่มที่มีรูปแบบความเป็นเจ้าของที่น่าเป็นห่วง กลุ่มแรกรวมถึงบริษัทที่มีความเชื่อมโยงที่ชัดเจนกับกองทัพปลดแอกประชาชนจีน ( PLA ) และบริษัทไซเบอร์ซีเคียวริตี้จีน Qihoo 360 กลุ่มที่สองแสดงลักษณะการดำเนินงานที่คล้ายคลึงกันและดูเหมือนจะถูกควบคุมโดยชาวจีนคนเดียวกัน แม้ว่าจะยังไม่ได้รับการยืนยันความเชื่อมโยงทางทหารโดยตรง
ความเชื่อมโยงเหล่านี้น่าเป็นห่วงเป็นพิเศษเพราะผู้ใช้ที่แสวงหาการปกป้องความเป็นส่วนตัวอาจกำลังส่งการรับส่งข้อมูลของตนผ่านบริการที่ควบคุมโดยผลประโยชน์ทางทหารของต่างชาติโดยไม่รู้ตัว แอปเหล่านี้ใช้โค้ดและโครงสร้างพื้นฐานร่วมกันแม้จะดูเหมือนมาจากบริษัทที่แตกต่างกัน ซึ่งบ่งบอกถึงการดำเนินงานที่ประสานงานกันภายใต้ความเป็นเจ้าของที่ซ่อนอยู่
กลุ่มผู้ให้บริการ VPN ที่มีปัญหา:
กลุ่มแรก (มีความเชื่อมโยงกับ PLA):
- INNOVATING CONNECTING LIMITED
- AUTUMN BREEZE PTE. LIMITED
- LEMON CLOVE PTE. LIMITED
กลุ่มที่สอง (มีลักษณะคล้ายคลึงกัน):
- MATRIX MOBILE PTE. LTD.
- ForeRaya Technologies PTE LTD
- Wildlook Tech Pte Ltd.
- Hong Kong Silence Technology
- Yolo Technology Limited
VPN ฟรีมีความเสี่ยงสูงกว่า
การศึกษายืนยันสิ่งที่ผู้เชี่ยวชาญด้านเทคโนโลยีหลายคนสงสัยมานาน คือ บริการ VPN ฟรีมีความเสี่ยงมากกว่าทางเลือกแบบเสียเงิน VPN เชิงพาณิชย์ฟรีมักจะสร้างรายได้จากข้อมูลผู้ใช้และอาจมีส่วนร่วมในการปฏิบัติที่น่าสงสัยทางจริยธรรม สมาชิกชุมชนบางคนสังเกตว่าบริการฟรีอาจใช้อุปกรณ์ของลูกค้าเป็นโหนดพร็อกซีสำหรับกิจกรรมเชิงพาณิชย์อื่นๆ ด้วยซ้ำ
อย่างไรก็ตาม แม้แต่บริการ VPN แบบเสียเงินก็ไม่ได้มีภูมิคุ้มกันต่อปัญหา งานวิจัยแสดงให้เห็นว่าความโปร่งใสและความปลอดภัยไม่ได้มีความสัมพันธ์กับราคาเสมอไป และผู้ใช้จำเป็นต้องประเมินผู้ให้บริการอย่างรอบคอบโดยอิงจากการปฏิบัติจริงมากกว่าการอ้างสิทธิ์ทางการตลาด
การเลือก VPN อย่างมีข้อมูล
สำหรับผู้ใช้ที่ต้องการบริการ VPN อย่างแท้จริง สิ่งสำคัญคือการเข้าใจโมเดลภัยคุกคามเฉพาะของคุณและเลือกผู้ให้บริการให้เหมาะสม หากคุณเพียงแค่พยายามหลีกเลี่ยงการร้องเรียนจาก ISP เกี่ยวกับการ torrent หรือเข้าถึงเนื้อหาที่ถูกบล็อกตามพื้นที่ ความต้องการด้านความปลอดภัยจะแตกต่างอย่างมากจากคนที่เผชิญกับการเฝ้าระวังหรือการเซ็นเซอร์จากรัฐบาล
งานวิจัยเน้นย้ำว่าผู้ใช้ควรให้ความสำคัญกับความโปร่งใสในผู้ให้บริการ VPN แม้ว่านี่จะสร้างการแลกเปลี่ยน ผู้ให้บริการที่โปร่งใสสามารถถูกเจ้าหน้าที่กำหนดเป้าหมายได้ง่ายกว่า ในขณะที่ผู้ให้บริการที่ไม่เปิดเผยตัวตนอาจซ่อนเจตนาที่เป็นอันตราย ความท้าทายอยู่ที่การหาบริการที่สร้างสมดุลของข้อกังวลเหล่านี้อย่างเหมาะสม
เมื่อความเป็นส่วนตัวออนไลน์มีความสำคัญมากขึ้น งานวิจัยนี้เน้นย้ำถึงความจำเป็นในการมีมาตรฐานและการกำกับดูแลที่ดีขึ้นในอุตสาหกรรม VPN ผู้ใช้สมควรได้รู้ว่าใครเป็นผู้ควบคุมบริการที่พวกเขาไว้วางใจกับข้อมูลของตน และร้านค้าแอปควรระบุอย่างชัดเจนว่าผู้ให้บริการใดดำเนินงานอย่างโปร่งใสเทียบกับผู้ที่ไม่ทำ