การวิเคราะห์ด้านความปลอดภัยอย่างครอบคลุมได้เปิดเผยช่องโหว่ที่น่าตกใจในแอปพลิเคชัน VPN ฟรีหลายตระกูลที่มีให้บริการใน Google Play Store ซึ่งมียอดดาวน์โหลดรวมกันกว่า 700 ล้านครั้ง การวิจัยนี้ดำเนินการโดยผู้เชี่ยวชาญด้านความปลอดภัยจาก Bowdoin College และ Arizona State University ร่วมกับ Breakingpoint Bad เปิดโปงว่าบริการ VPN ที่ดูเหมือนจะเป็นอิสระจากกันนั้นแท้จริงแล้วใช้โค้ดเบสเดียวกันและมีช่องโหว่ด้านความปลอดภัยร้ายแรงที่ทำลายความเป็นส่วนตัวของผู้ใช้
منهجية البحث
الدراسة أجريت بواسطة:
- นักวิจัยด้านความปลอดภัยจาก Bowdoin College
- นักวิจัยจาก Arizona State University
- Breakingpoint Bad (องค์กรไม่แสวงหาผลกำไรด้านความปลอดภัยทางเทคนิค)
ขอบเขตการวิจัย:
- การวิเคราะห์ VPN อันดับต้น ๆ 100 อันดับใน Google Play Store
- มุ่งเน้นไปที่แอปพลิเคชัน 20 ตัวจาก 3 กลุ่ม
- จำนวนดาวน์โหลดรวม: มากกว่า 700 ล้านครั้ง
- เผยแพร่ที่ Privacy Enhancing Technologies Symposium (PETS)
 |
|---|
| การมีส่วนร่วมกับเทคโนโลยีดิจิทัลในขณะที่ต้องรับมือกับความเสี่ยงด้านความปลอดภัยของแอปพลิเคชัน VPN |
ค้นพบแอป VPN สามตระกูลที่เชื่อมโยงกัน
การสืบสวนระบุตระกูลแอปพลิเคชัน VPN ที่แตกต่างกันสามตระกูลซึ่งแม้จะทำการตลาดในฐานะบริการอิสระ แต่กลับมีโครงสร้างพื้นฐานและโค้ดที่คล้ายคลึงกันอย่างน่าทึ่ง ตระกูล A ประกอบด้วยแอปยอดนิยมอย่าง Turbo VPN , VPN Monster และ VPN Proxy Master ซึ่งทั้งหมดมีโค้ด Java ที่เหมือนกันเกือบทุกประการ ไลบรารีที่ใช้ร่วมกัน และแอสเซ็ทเดียวกัน ตระกูล B ครอบคลุมบริการต่างๆ เช่น Global VPN , XY VPN และ Touch VPN ซึ่งใช้ที่อยู่ IP ของ VPN ร่วมกันและอ้างอิงถึงผู้ให้บริการตระกูล A ในนโยบายความเป็นส่วนตัวของพวกเขา กลุ่มที่เล็กที่สุดคือตระกูล C ประกอบด้วย X-VPN และ Fast Potato VPN ซึ่งทั้งคู่ใช้โครงสร้างโค้ดที่คล้ายคลึงกันและการใช้งานโปรโตคอลที่เป็นกรรมสิทธิ์
แอปพลิเคชัน VPN ที่ได้รับผลกระทบจำแนกตามกลุ่ม
กลุ่ม A ( Innovative Connecting , Lemon Clove , Autumn Breeze ):
- Turbo VPN
- Turbo VPN Lite
- VPN Monster
- VPN Proxy Master
- VPN Proxy Master - Lite
- Snap VPN
- Robot VPN
- SuperNet VPN
กลุ่ม B ( MATRIX MOBILE PTE LTD , Super Z VPN , The Tool Tech , ฯลฯ):
- Global VPN
- XY VPN
- Super Z VPN
- Touch VPN
- VPN ProMaster
- 3X VPN
- VPN Inf
- Melon VPN
กลุ่ม C ( FreeConnectedLimited , Fast Potato ):
- X-VPN
- Fast Potato VPN
ช่องโหว่ด้านความปลอดภัยร้ายแรงคุกคามข้อมูลผู้ใช้
การค้นพบที่น่าวิตกที่สุดเกี่ยวข้องกับรหัสผ่าน Shadowsocks ที่ฮาร์ดโค้ดฝังอยู่ในไฟล์ APK ของแอปพลิเคชัน รหัสผ่านเหล่านี้ทำให้ผู้โจมตีสามารถถอดรหัสการรับส่งข้อมูลของผู้ใช้ได้ ทำลายคำมั่นสัญญาด้านความปลอดภัยที่บริการ VPN เหล่านี้ให้กับผู้ใช้อย่างสิ้นเชิง ช่องโหว่เพิ่มเติมรวมถึงความเสี่ยงต่อการโจมตีแบบ blind-side โปรโตคอลการเข้ารหัสที่อ่อนแอ และจุดอ่อนที่อนุญาตให้มีการโจมตีแบบ connection inference ข้อบกพร่องดังกล่าวทำให้ VPN ไม่มีประสิทธิภาพในการปกป้องความเป็นส่วนตัวของผู้ใช้ ซึ่งเป็นวัตถุประสงค์หลักที่ผู้คนติดตั้งแอปพลิเคชันเหล่านี้
ช่องโหว่ด้านความปลอดภัยที่สำคัญที่ระบุพบ
| ประเภทช่องโหว่ | ผลกระทบ | คำอธิบาย |
|---|---|---|
| รหัสผ่าน Shadowsocks ที่ฝังตายตัวในโค้ด | วิกฤต | ทำให้ผู้โจมตีสามารถถอดรหัสข้อมูลการใช้งานของผู้ใช้ได้ |
| การโจมตีแบบ blind-side | สูง | ทำลายความปลอดภัยของการเชื่อมต่อ |
| การเข้ารหัสที่อ่อนแอ | สูง | การป้องกันข้อมูลผู้ใช้ไม่เพียงพอ |
| การโจมตีแบบอนุมานการเชื่อมต่อ | ปานกลาง | ทำให้สามารถวิเคราะห์รูปแบบการรับส่งข้อมูลได้ |
| โครงสร้างพื้นฐานที่ใช้ร่วมกัน | ปานกลาง | ลดความเป็นอิสระและความโปร่งใสของบริการ |
การปฏิบัติทางการตลาดที่หลอกลวงทำให้ผู้บริโภคเข้าใจผิด
การวิจัยเน้นให้เห็นว่าตระกูล VPN เหล่านี้มีส่วนร่วมในการปฏิบัติที่อาจหลอกลวงโดยนำเสนอตัวเองเป็นทางเลือกอิสระในขณะที่พวกเขาใช้ต้นกำเนิดและโครงสร้างพื้นฐานร่วมกัน สิ่งนี้สร้างภาพลวงตาของการเลือกสำหรับผู้บริโภคที่เรียกดูใน Google Play Store ซึ่งเชื่อว่าพวกเขากำลังเปรียบเทียบบริการที่แตกต่างกันในขณะที่พวกเขากำลังดูรูปแบบต่างๆ ของผลิตภัณฑ์เดียวกันจริงๆ การปฏิบัตินี้กลายเป็นปัญหาโดยเฉพาะอย่างยิ่งเมื่อผู้ใช้ไม่สามารถตัดสินใจอย่างมีข้อมูลเกี่ยวกับเครื่องมือความเป็นส่วนตัวของพวกเขาได้เนื่องจากขาดความโปร่งใสนี้
โมเดลรายได้ทำให้เกิดความกังวลเพิ่มเติม
บริการ VPN ฟรีเหล่านี้สร้างรายได้ผ่านการโฆษณาและการเก็บรวบรวมข้อมูล ซึ่งสร้างความขัดแย้งทางผลประโยชน์โดยธรรมชาติกับความเป็นส่วนตัวของผู้ใช้ ด้วยยอดดาวน์โหลดกว่า 700 ล้านครั้งในแอปพลิเคชันที่ระบุ บริการเหล่านี้น่าจะสร้างรายได้จากการโฆษณาอย่างมากในขณะที่อาจทำลายความเป็นส่วนตัวที่ผู้ใช้พยายามปกป้อง การศึกษาแนะนำถึงความเป็นไปได้ของการเชื่อมโยงกับ China ทำให้เกิดความกังวลเพิ่มเติมเกี่ยวกับการปฏิบัติต่อข้อมูลและการปฏิบัติตามกฎระเบียบที่เป็นมิตรต่อความเป็นส่วนตัว
ความท้าทายในการกำกับดูแล Google Play Store
การแพร่กระจายของแอปพลิเคชัน VPN ที่มีปัญหาเหล่านี้เน้นให้เห็นถึงความท้าทายที่สำคัญในการกำกับดูแลแอปสโตร์และกระบวนการตรวจสอบความปลอดภัย แม้ว่า Google จะเสนอป้ายการตรวจสอบความปลอดภัยสำหรับแอปพลิเคชัน VPN นักวิจัยแนะนำให้ทำป้ายดังกล่าวให้เป็นข้อบังคับและใช้กระบวนการตรวจสอบตัวตนสำหรับนักพัฒนา ข้อจำกัดด้านความสามารถในการขยายขนาดของระบบปัจจุบันทำให้ยากต่อการระบุซอฟต์แวร์ที่มีคุณสมบัติด้านความปลอดภัยที่ทำให้เข้าใจผิดก่อนที่พวกเขาจะเข้าถึงผู้ใช้หลายล้านคน
คำแนะนำสำหรับการปกป้องผู้ใช้
ผู้เชี่ยวชาญด้านความปลอดภัยเน้นย้ำถึงความสำคัญของการเลือกบริการ VPN แบบเสียเงินที่มีชื่อเสียงซึ่งมีประวัติที่พิสูจน์แล้วและการปฏิบัติด้านความปลอดภัยที่โปร่งใส ผู้ให้บริการที่มีชื่อเสียงอย่าง NordVPN , ExpressVPN , Proton VPN และ Surfshark ผ่านการตรวจสอบความปลอดภัยเป็นประจำและรักษานโยบายที่ชัดเจนเกี่ยวกับการจัดการข้อมูลและมาตรฐานการเข้ารหัส ผู้ใช้ควรระมัดระวังเป็นพิเศษกับบริการ VPN ฟรีที่ดูดีเกินจริง เนื่องจากค่าใช้จ่ายโครงสร้างพื้นฐานในการรันเซิร์ฟเวอร์ VPN ต้องการโมเดลรายได้ที่ยั่งยืนซึ่งอาจทำลายความเป็นส่วนตัวของผู้ใช้