Araştırmacılar, büyük VPN sağlayıcıları arasında aldatıcı uygulamaları ortaya çıkardılar ve görünüşte bağımsız varlıkları 700 milyonu aşan birleşik Google Play mağaza indirmesiyle üç ayrı “aileye” bağladılar.
Ekip, iş dosyalarını, APK eserlerini ve ağ iletişimlerini analiz ederek, ortak sahipliklerini gizleyen sağlayıcıların kümelerini belirledi ve genellikle Qihoo 360 gibi yaptırım firmalarına bağlantılar da dahil olmak üzere Çin kuruluşlarına bağlı iken Singapur tabanlı operasyonlar iddia etti.
Bu şeffaflık eksikliği sadece kullanıcı güvenini aşındırmakla kalmaz, aynı zamanda veri gizliliğini tehlikeye atan paylaşılan kriptografik kimlik bilgileri gibi yaygın güvenlik açıkları ile de ilişkilidir.
VPN ekosistemlerinde paylaşılan kusurlar
Çalışma, VPN Pro ve Teknik Şeffaflık Projesi tarafından yapılan önceki araştırmalar üzerine inşa ederek, APK’lardan sert kodlanmış Shadowsocks şifrelerinin trafiğini şifresini çözmek ve altyapı paylaşımını doğrulamak gibi yeni yöntemler sunmaktadır.
Örneğin, Aile, Yenilikçi Bağlantı, Sonbahar Breeze ve Lemon Clove gibi kapsayıcı bir sağlayıcılar, kod tabanlarını ve sunucularını yeniden kullanan Turbo VPN ve VPN Proxy Master dahil olmak üzere uygulamaları işletmekte ve saldırganların ek uç noktaları serbest yüklemesini sağlar.
Benzer şekilde, B ve C aileleri kodu benzerlikleri, tescilli protokoller ve kullanıcıları dinleme ve bağlantı çıkarım saldırılarına maruz bırakan protokol zayıflıkları sergiler.
Teknik detaylara giren araştırma, bu ailelerdeki VPN protokollerindeki kritik kusurları, özellikle ağ katmanı ve uygulama katmanı uygulamalarında vurgulamaktadır.
IPSEC veya OpenVPN kullananlar gibi ağ katman VPN’leri, rakiplerin tüneli şifresini çözmeden bağlantıları çıkarabileceği veya kaçırabileceği, mobil cihazlarda gevşek kaynak adresi doğrulamasını kullanabilecekleri/yoldaki saldırılarda kör olmaya eğilimlidir.
Kullanıcı güvenliği için çıkarımlar
Analiz edilen tüm ailelerde yaygın olan Shadowsocks gibi uygulama katmanı vekilleri, şifre çözme kehanetlerini mümkün kılan, saldırganların bütünlük kontrolleri olmadan düz metin kurtarmasına izin veren kullanımdan kaldırılmış şifrelerden (örn. RC4-MD5) muzdariptir.
Özellikle endişe verici bir keşif, A Family’nin Libopvpnutil.So kütüphanesinde görüldüğü gibi APK’larda simetrik anahtarların ve şifrelerin sabit kodlamasıdır.
Bu yeniden kullanım, herhangi bir ağ kulak misafiri, dinamik analiz için Frida gibi araçları kullanarak tüm istemci trafiğini şifresini çözmesine izin verir ve araştırmacılar şifreli akışların gerçek zamanlı şifresini gösterir.
Libcore.So’ya bağımlı Family B uygulamaları, GlobalTelehost Corp. tarafından barındırılan ve çapraz sağlayıcı altyapı istismarını kolaylaştıran ortak sunucular arasında 14 sabit kodlu şifre arasından seçim yapın.
A Family’nin 53 numaralı bağlantı noktası üzerinden özel tünelleri bile (DNS olarak maskelenmek) LibredSocks’u içerir.
Bu paylaşılan kusurlar sadece sahiplik aldatmacasını değil, sistemik güvenlik ihmalini de göstermektedir ve 21 uygulamada 972 milyondan fazla indirmeyi etkilemektedir.
Çıkarımlar derindir: Gizlilik için bu VPN’lere güvenen kullanıcılar, hassas verileri yanlışlıkla, özellikle kamu Wi-Fi gibi çekişmeli ağlarda müdahaleye maruz bırakabilir.
Araştırmacılar, kriptografik kimlik bilgisi eşleştirme gibi kümeleme için gelişmiş adli sinyaller önerir ve sağlayıcıların sert kodlu anahtarları ve AEAD şifreleri gibi sağlam şifreleme benimsemeleri için dürtüler önerir.
VPN’nin benimsenmesi artan siber tehditler arasında dalgalanmalar nedeniyle, bu çalışma, küresel kullanıcıları korumak için sahiplik şeffaflığının ve protokol bütünlüğünün düzenleyici incelemesinin altını çizmektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!