Kapsamlı bir güvenlik analizi, birden fazla VPN uygulamasında 700 milyondan fazla kullanıcıyı etkileyen endişe verici güvenlik açıkları ortaya koydu ve bu hizmetlerin korunmaya söz verdiği gizlilik ve güvenliği tehlikeye atan kritik kusurları ortaya çıkardı.
Arizona Eyalet Üniversitesi, Citizen Lab ve Bowdoin College’dan siber güvenlik uzmanları tarafından yapılan araştırmalar, sadece ortak sahipliği değil, aynı zamanda kullanıcı iletişimlerini müdahale ve şifrelemeye karşı savunmasız hale getiren tehlikeli güvenlik zayıflıklarını paylaşan üç farklı VPN sağlayıcı ailesini ortaya çıkarmıştır.
Soruşturma, aynı kriptografik kimlik bilgilerini ve sunucu altyapısını paylaşırken sahipliklerini kasıtlı olarak gizleyen görünüşte bağımsız VPN sağlayıcıları arasında aldatıcı uygulamalar belirledi.
.webp)
Yenilikçi bağlantı, sonbahar esintisi ve limon karanfil gibi isimler altında çalışan bu sağlayıcılar, diğerleri arasında Turbo VPN, VPN Proxy Master ve SNAP VPN gibi uygulamaları toplu olarak dağıtıyor.
Araştırma, bu uygulamaların, saldırganların ağları aracılığıyla iletilen tüm kullanıcı trafiğini şifresini çözmesini sağlayan sabit kodlu Shadowsocks şifreleri içerdiğini ortaya koyuyor.
Uygulama ikili dosyalarının ve ağ iletişimlerinin kapsamlı analizini takiben, Petsymposium analistleri, güvenlik kusurlarının bu VPN uygulamalarının kriptografik materyalleri nasıl işlediğinde temel uygulama hatalarından kaynaklandığını belirledi.
.webp)
En kritik güvenlik açığı, doğrudan uygulama kodunun içine yerleştirilmiş sert kodlanmış simetrik şifreleme anahtarlarını içerir, assets/server_offline.ser ve AES-192-ECB kullanılarak şifrelenmiştir.
VPN müşterileri bağlantı kurduğunda, yerel bir işlevi kullanırlar NativeUtils.getLocalCipherKey Paylaşılan kütüphanede uygulandı libopvpnutil.so Determinist olarak şifre çözme anahtarları oluşturmak.
Teknik analiz, bu uygulamaların, uygun bütünlük kontrollerinden yoksun olan ve şifre çözme oracle saldırılarını mümkün kılan savunmasız RC4-MD5 şifre süitini kullanarak kullanımdan kaldırılmış Shadowsocks konfigürasyonları kullandığını ortaya koydu.
Ağ trafik analizi, bu sabit kodlu kimlik bilgilerine sahip olan saldırganların, kullanıcı iletişimlerini gerçek zamanlı olarak başarılı bir şekilde şifresini çözebileceğini gösterdi, burada ShadowSocks şifrelerinin hem çalışma zamanı izlerinde hem de bellek dökümlerinde görünür.
Enfeksiyon mekanizması ve kimlik bilgisi paylaşım mimarisi
Güvenlik açığı sömürü mekanizması, sözde farklı VPN sağlayıcılarında paylaşılan şifreleme altyapısına odaklanmaktadır.
Etkilenen her uygulama, kod yapılarında birden fazla VPN uygulamasına başvuran özdeş yapılandırma dosyaları ve paylaşılan kütüphaneler içerir.
. libopvpnutil.so Kütüphane, çeşitli VPN paket adlarına açık referanslar içerir; free.vpn.unblock.proxy.turbovpn– free.vpn.unblock.proxy.vpnmasterVe free.vpn.unblock.proxy.vpnmonstersağlayıcı ağı genelinde koordineli geliştirme ve dağıtım gösteren.
Kullanıcılar bu VPN hizmetlerine bağlandığında, uygulamalar uzakta saklanan gömülü sert kodlu kimlik bilgilerine geri dönmeden önce uzak yapılandırma dosyalarını indirmeye çalışır server_offline.ser.
Bu tasarım, saldırganların ekstrakte edilen parolaları aynı ağ aralıkları içindeki IP adreslerine karşı test ederek ek VPN sunucularını numaralandırmasını ve bu aldatıcı sağlayıcılar tarafından çalıştırılan tüm altyapıyı etkili bir şekilde eşleyerek numaralandırmasını sağlar.
Paylaşılan kimlik bilgisi sistemi ayrıca VPN hizmetlerine yetkisiz erişim sağlar ve saldırganların etkilenen herhangi bir uygulamadan çıkarılan Shadowsocks parametrelerini kullanarak yetkisiz tüneller oluşturmalarını sağlar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.