Sanal özel ağlara (VPN’ler) gizliliği korumak, güvenli iletişimi korumak ve mobil cihazlarına uzaktan erişim sağlamak için milyonlarca kişi tarafından güvenilir.
Ancak, verilerinizi korumak için tasarlanan uygulamalar, korumaya söz verdikleri kesin bilgileri ortaya çıkaran tehlikeli güvenlik kusurlarıyla dolu ise ne olur?
Hem Android hem de iOS için 800 ücretsiz VPN uygulamasından Zimperium Zlabs tarafından kapsamlı bir güvenlik ve gizlilik analizi rahatsız edici bir gerçeklik ortaya koymaktadır: bu uygulamaların önemli bir kısmı, kullanıcı gizliliğini ve güvenliğini temel olarak zayıflatan tehlikeli davranışlar sergiler.
Araştırma, birçok uygulamanın gerçek bir gizlilik koruması sağlamadığını, belirtilen amaçlarının çok ötesinde aşırı izinler talep ettiğini, kişisel verileri sızdırdığını ve eski, savunmasız kod kütüphanelerine dayandığını ortaya çıkardı.
Ücretsiz VPN uygulamalarını çevreleyen tehdit manzarası, yüksek riskli yargı yetkileri konusundaki endişelerin çok ötesine uzanmaktadır.
Zimperium’un analizi, sorunlu güvenlik uygulamalarının ekosistem genelinde endemik olduğunu ve resmi uygulama mağazaları aracılığıyla sunulan uygulamaları etkilediğini ortaya koyuyor.
Bu güvenlik açıkları, sadece bireysel tüketiciler için değil, aynı zamanda, tehlike altına alınan VPN uygulamalarının kurumsal güvenlik altyapısında en zayıf bağlantı haline gelebileceği kendi-devasa (BYOD) politikalarını uygulayan kuruluşlar için önemli riskler yaratır.
Mobil uygulamalarla ilişkili kötü niyetli, tehlikeli ve ılımlı riskli davranışları ve izinlerini kategorize etmek
Araştırma, analiz edilen uygulamalarda defalarca ortaya çıkan beş temel güvenlik ve gizlilik sorunu kategorisini belirledi.
Bunlar, iyi bilinen güvenlik açıkları içeren eleştirel modası geçmiş kütüphanelerin kullanımından, kullanıcıları gelişmiş ağ tabanlı saldırılara maruz bırakan güvenli iletişim protokollerinin uygulanmasında temel başarısızlıklara kadar uzanmaktadır.
Kritik Kütüphane Güvenlikleri
En endişe verici keşiflerden biri, kritik, iyi belgelenmiş güvenlik açıkları içeren ciddi şekilde modası geçmiş üçüncü taraf kütüphanelerinin kullanılmasıdır.
Analiz, OpenSSL kütüphanesinin eski sürümlerini kullanan üç VPN uygulaması buldu ve onları meşhur kalpli hataya (CVE-2014-0160) savunmasız bıraktı.
İlk olarak 2014’te açıklanan bu güvenlik açığı, uzak saldırganların TLS kalp atışı uzantısında uygunsuz bellek işlemesinden yararlanarak doğrudan sunucu belleğinden hassas bilgileri doğrudan sunucu belleğinden okumasına izin verir.
Bu tür güvenlik açıklarının, keşiflerinden on yıldan fazla bir süre sonra, VPN uygulama geliştiricileri arasındaki güvenlik bakım uygulamalarında temel bir başarısızlık olduğunu göstermektedir.
Bu kusurlar birincil anahtar materyali, ikincil kimlik doğrulama kimlik bilgilerini ve kullanıcı gizliliğinin korunmasının temelini oluşturan diğer korunan içeriği ortaya çıkarabilir.
Belki de en kritik bulgu, güvenli iletişim uygulamasındaki temel zayıflıklarla ilgilidir. Analiz edilen VPN uygulamalarının yaklaşık% 1’i, uygunsuz sertifika doğrulama prosedürleri nedeniyle ortadaki insan (MITM) saldırılarına karşı savunmasız bulunmuştur.
Bu güvenlik açıkları, uygulamalar bağlantı kurulumu sırasında sunucular tarafından sunulan dijital sertifikaları doğru bir şekilde doğrulamadığında ortaya çıkar.
Bir VPN uygulaması uygun doğrulama olmadan sahte veya kendi kendine imzalanmış sertifikaları kabul ettiğinde, saldırganlar kendilerini doğrudan iletişim kanalına yerleştirebilir.
Bu, güvenli bağlantı yanılsamasını korurken tüm trafiği kesmelerine, şifresini çözmelerini ve izlemelerini sağlar. Kullanıcı iletişimlerini korumak için özel olarak tasarlanmış uygulamalar için, bu tür güvenlik açıkları temel güvenlik vaadlerinin tam bir başarısızlığını temsil eder.
Gizlilik Politikası İOS’a Uyumsuzluk
İOS VPN uygulamalarının analizi, Apple’ın gizlilik açıklama gereksinimlerine sistematik uyumsuzluk ortaya koydu. İncelenen uygulamaların şaşırtıcı% 25’i geçerli gizlilik tezahürlerini içeremerken, birçoğu veri toplama uygulamaları hakkında yanıltıcı veya eksik bilgiler sağladı.
Bu tutarsızlıklar, kullanıcıların uygulama kurulumları hakkında bilinçli kararlar vermesini engeller ve VPN gizlilik vaatleriyle doğrudan çelişen veri toplama etkinliklerini maskeleyebilir.
API politika ihlallerinin gerekli nedenleri, uygulamaların bu erişim için uygun bir gerekçe sağlamadan hassas cihaz yeteneklerine erişebileceğini gösterdikleri için özellikle ilgiliydi.
Bu opaklık, gizlilik odaklı uygulamaların, belirtilen gizlilik hedeflerine doğrudan karşıt olarak telemetri, çarpışma günlükleri, cihaz tanımlayıcıları ve davranışsal meta verileri sessizce toplayabileceği koşullar yaratır.
Hem Android hem de iOS VPN uygulamaları sıklıkla temel ağ işlevlerinin çok ötesine uzanan izinler ister.
Android’de örnekler arasında, kullanıcı hesabı yönetimi üzerinde sistem düzeyinde kontrol sağlayan Authenticate_accounts izni ve kapsamlı cihaz etkinlik izlemesini sağlayan Read_Logs Access de bulunmaktadır.
Bu izinler, kötü niyetli aktörler tarafından kullanılabilecek veya uygulama güvenlik açıkları yoluyla tehlikeye atılabilen saldırı yüzeyleri oluşturur.
İOS uygulamaları benzer kalıplar gösterdi ve% 6’dan fazlası, tipik olarak çekirdek işletim sistemi bileşenleri için ayrılmış derin sistem erişimi sağlayan özel haklar talep etti.
Buna ek olarak, birçok VPN uygulaması, VPN işlevselliğiyle meşru bir bağlantısı olmayan ancak kapsamlı gözetim özelliklerini etkinleştiren sürekli konum izleme (location_always) ve yerel ağ keşif özelliklerini (use_local_network) talep eder.
Kurumsal güvenlik sonuçları
BYOD politikaları olan kuruluşlar için, bu güvenlik açıkları ciddi kurumsal güvenlik risklerini temsil etmektedir. Çalışan cihazlarındaki tehlikeye atılan VPN uygulamaları, ağ keşfi, kimlik gerçeği hırsızlığı ve yanal hareket saldırıları için giriş noktaları görevi görebilir.
Aşırı izinlerin ve güvenlik açıklarının birleşimi, saldırganların kişisel cihaz uzlaşmasından daha geniş organizasyonel ağ erişimine kadar dönmesini sağlayabilir.
Araştırma ayrıca, aynı cihazdaki diğer uygulamalar tarafından kullanılabilecek güvensiz etkinlik lansmanları ve dışa aktarılan içerik sağlayıcıları gibi davranışlar hakkında da tanımlanmıştır.
Bu mimari zayıflıklar, kötü amaçlı uygulamaların yetkisiz sistem erişimi elde etmek için VPN uygulama güvenlik açıklarından yararlandığı ayrıcalık artış saldırılarını mümkün kılabilir.
Mobil güvenlik platformu Zimperium, örgütsel güvenliği etkilemeden önce bu gizli güvenlik açıklarını tanımlayabilen mobil uygulama veteriner çözümleri sunar.
Kapsamlı statik ve dinamik analiz yoluyla, işletmeler uygulama güvenlik duruşlarını değerlendirebilir, aşırı izin taleplerini işaretleyebilir ve hassas iş verilerini tehlikeye atabilecek gizlilik sızıntılarını tespit edebilir.
Ücretsiz VPN uygulamalarındaki güvenlik açıklarının yaygınlığı, kurumsal ortamlarda konuşlandırılmadan önce kapsamlı güvenlik değerlendirmesinin kritik öneminin altını çizmektedir. Kuruluşlar, gizlilik araçlarının sağlayabileceği yanlış güvenlik duygusuna karşı korunmak için sağlam mobil uygulama güvenlik değerlendirme süreçleri uygulamalıdır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.