Citizen Lab’ın yeni raporu Hidden Links, Turbo VPN ve VPN Canavar gibi tek bir şirket tarafından kontrol edilen ve sert kodlanmış şifreler ve zayıf şifreleme de dahil olmak üzere tehlikeli güvenlik uygulamalarını kullanan bir VPN sağlayıcıları ağını ortaya çıkarır.
“Gizli Bağlantılar: VPN uygulamalarının gizli ailelerini analiz etmek” başlıklı yeni bir araştırma makalesi, bazı popüler sanal özel ağ (VPN) sağlayıcılarının gerçek sahipliklerini kasıtlı olarak nasıl gizlediğini ve güvenlik kusurlarını paylaşma.
Makale, Benjamin Mixon-Baca, Jeffrey Knockel ve Jedidiah Crandall tarafından birlikte yazıldı ve Citizen Lab tarafından yayınlandı. Çalışmaları, kod benzerliklerinden ve ağ iletişimlerinden iş dosyalarına kadar her şeye bakarak Google Play Store’dan uygulamaların derin bir analizini içeriyordu.
Araştırmacılar, aynı varlık tarafından gizlice işletilen üç VPN ailesi tespit ettiler. En dikkat çekici grup, 700 milyondan fazla indirme olan yenilikçi bağlantı, sonbahar esintisi ve limon karanfilini içerir.
Bu şirketler Turbo VPN, VPN Monster ve SNAP VPN gibi uygulamaları dağıtıyor ve ABD hükümeti tarafından onaylanan bir Çin ulusal güvenlik firması Qihoo 360 ile bağlantılı.
Turbo VPN ve SNAP VPN’nin, teknoloji şeffaflık projesinin Haziran 2025 raporunda, bu VPN’lerin ABD verilerini Çin’e aktarma olasılığı ile ilgili ulusal güvenlik endişelerini belirttiğini belirtmek gerekir.
380 milyondan fazla indirme ile ikinci bir sağlayıcı ailesi, Matrix Mobile Pte Ltd ve Foreraya Technology Limited dahil. Üçüncü bir aile hızlı patates pte içeriyordu. Ltd ve Free Connected Limited.
Daha fazla problama, bu VPN’lerin çoğunun gizlilik sağlamak için değil, Çin’de internet sansürünü atlamak için yaratılan Shadowsocks adlı belirli bir teknoloji kullandığını ortaya koydu. Uygulamalar şifreleme için modası geçmiş ve güvenli olmayan yöntemler kullandı ve bu da onları hacklemeyi kolaylaştırdı. Bazı uygulamalar, gizlilik politikaları olmayacağına söz vermesine rağmen, bir kullanıcının konumunu toplayarak ve bir sunucuya göndererek yakalandı.
Bir diğer önemli bulgu (PDF), bu uygulamaların sadece kodu değil, aynı zamanda ciddi güvenlik açıklarını da paylaşmasıdır. Örneğin, ailelerden ikisi VPN uygulamaları için tek, sabit kodlu bir şifre kullandı. Bilgileriniz için, sabit kodlu bir şifre, kalıcı olarak bir uygulamaya yerleştirilmiş gizli bir anahtardır, yani her kullanıcı için aynıdır. Bu, şifreyi keşfeden herkesin, bu uygulamanın tüm kullanıcılarının trafiğini şifresini çözmesini ve özel bilgilerini kulak misafiri olanlar için görünür hale getirmesini sağlar.
Araştırmacılar, farklı görünümlü VPN hizmetlerinin aslında aynı sunucuları paylaştığını doğrulamak için bu paylaşılan şifreleri kullanabildiler. Ayrıca VPN Super Inc., Miczon LLC ve Secure Signal Inc.’den bu gizli bağlantılara sahip görünmeyen üç uygulamayı not ettiler.
Bununla birlikte, paylaşılan güvenlik kusurları, bir ailedeki bir uygulama savunmasızsa, diğerleri de anlamına gelir. Bu bulgular, farklı VPN uygulamaları gibi görünen şeyin genellikle milyonlarca kullanıcıyı riske atan tek, kötü amaçlı bir ağın parçası olduğunu vurgulamaktadır.
Bu nedenle, kullanıcıların VPN hizmetlerinin gerçekten arkasında kimin olduğunu bilmesi çok önemlidir. Çalışma, VPN sağlayıcılarından şeffaflığa yönelik kritik ihtiyacı vurgulamaktadır ve uygulama geliştiricilerinin kimliğini ve uygulama güvenliğini denetlediklerini geliştirmek için Google Play gibi uygulama mağazalarındaki çağrılar.