Yeni çalışma, birkaç ücretsiz iOS ve Android VPN uygulaması sızıntı verilerini uyarıyor


Zimperium Zlabs’ın yeni araştırmalarına göre, çevrimiçi gizlilik için ücretsiz mobil sanal özel ağ (VPN) uygulamalarına güvenen milyonlarca insan verilerini daha fazla riske atıyor olabilir. Android ve iOS için yaklaşık 800 ücretsiz VPN uygulaması üzerinde yapılan bir çalışmada, araştırmacılar birçoğunun sadece kullanıcıları korumakla kalmayıp aynı zamanda bunları ciddi güvenlik ve gizlilik tehditlerine de maruz bıraktığını buldular.

Eleştirel kusurlar keşfedildi:

ZLABS ekibi, bu uygulamaların önemli bir kısmının tehlikeli davranışlar sergilediğini keşfetti. Bazıları kişisel verileri sızdırmaz, diğerleri ise “gerçek bir gizlilik yok” sunar. Araştırmacılar, büyük bir endişenin geliştiricilerin inanılmaz eski ve savunmasız yazılımları kullanması olduğunu belirtti.

Örneğin, analiz, üç VPN uygulamasının hala OpenSSL kütüphanesinin eski bir kısmını kullandığını ve bunları meşhur kalpli hataya açık bıraktığını buldu (CVE-2014-0160). 2014 yılında ortaya çıkan bu kusur, uzak bir saldırganın gizli anahtarlar, kullanıcı adları ve şifreler gibi hassas bilgileri okumasına izin verebilir.

Uygulamaların yaklaşık% 1’i ortadaki insan (MITM) saldırılarına karşı savunmasızdı ve saldırganlara tüm kullanıcı trafiğini kesme ve okuma yeteneği verdi. Bilinen bir düzeltmeye sahip on yıllık bir kusurla bir uygulamayı yayınlamak, ciddi bir güvenlik gayret eksikliğini vurgular.

Aşırı izinler ve gözetim:

Daha fazla problama, birçok uygulamanın da güçlü, gereksiz erişim talep ettiğini, izin kötüye kullanımı olarak bilinen bir uygulama olduğunu ortaya koydu. Örneğin, “her zaman açık” konum erişimi (location_always) isteyen bir iOS VPN uygulaması mantıklı değildir, çünkü bir VPN’nin ana işi trafiği güvence altına almak, fiziksel konumunuzu 7/24 takip etmektir.

Yeni çalışma, ücretsiz VPN uygulamalarının% 25'ini gizlilik eksikliğini buluyor, hassas verileri ortaya çıkarıyor
Kaynak: Zimperium

Benzer şekilde, bazı Android uygulamaları, bir kullanıcının davranışının tam profilini oluşturmalarına izin verebilecek ve böylece “sofistike keylogger” olarak çalışmalarına izin verebilecek tüm sistem günlüklerini (Read_Logs) okuma yeteneği istedi.

Bazı uygulamalar, mikrofonlara erişim, sistem günlükleri veya UI ekran yakalama gibi izinler istedi ve uygulama sağlayıcısına belirtilen işlevinin çok ötesinde bir gözetim vektörü verir.

Saygın olmayan gizlilik uygulamaları:

Zimperium Zlabs’ın blog yazısına göre, araştırmacılar denetlenen uygulamalar arasında yaygın bir şeffaflık eksikliği buldular ve kullanıcıların toplanan veriler hakkında bilgilendirilmiş onam verme yeteneğini engellediler. Apple’ın App Store’da bile, iOS VPN uygulamalarının büyük bir% 25’inde geçerli bir gizlilik tezahürü yoktu, bu da kullanıcılara verilerinin nasıl ele alınacağını bilgilendirmek için temel bir gereklilik.

Kaynak: Zimperium

Ayrıca, bu iOS uygulamalarının% 6’sından fazlası, işletim sistemine derin erişim sağlayabilecek ve asla üçüncü taraf geliştiriciler için kullanılamaması gereken güçlü izinler olan özel haklar talep etti.

Personelin kişisel cihazlarını iş için kullanmasına izin veren şirketler için (kendi evinizi getirme veya BYOD politikaları olarak adlandırılır), bu güvensiz VPN’ler en zayıf bağlantı haline gelebilir ve hassas iş verilerini gereksiz riske sokabilir. Nihayetinde, ücretsiz mobil VPN’ler söz konusu olduğunda, gizliliğinizi koruduğu varsayılan şey aslında verileriniz için en büyük risk olabilir.

Kuruluşların çok katmanlı bir yanıta ihtiyacı vardır. Son nokta görünürlüğü ve yönetimi masa bahisleridir. Bazı kuruluşlar riski değerlendirecek ve uygulama izin listesi yoluyla bununla başa çıkacak, diğerleri ise daha izin veren bir yaklaşımı destekleyebilir. Ancak, hızla bir gereklilik haline gelen şey, web içeriği düzeyinde veri güvenliğine ihtiyaçtır, Menlo Security’de Direktör Brandon Tarbeti ve Güvenlik dedi.

Bu ihtiyaç, kişisel VPN sağlayıcılarının ürünlerinin sözde güvenlik avantajlarını nasıl konumlandırdığı ve pazarlamasıyla ilgili altına alınmıştır. Uyardı. İçerik düzeyinde veri korumasına ve web siteleri ve hizmetlerle bağlantılarına güvenmek isteyen bir pazar ihtiyacı vardır. Anahtar, çevre tabanlı bir güvenlik zihniyetinden (VPN’lerde olduğu gibi) geleneksel görünürlükten ödün verilse bile çalışan içerik düzeyinde korumaya kaymaktır. çağırdı.





Source link