كشفت دراسة جديدة أن أكثر من 20 تطبيق VPN في متجر Google Play يشتركون في نفس قواعد الكود والبنية التحتية ، على الرغم من تقديمها كخدمات مستقلة. تمثل هذه التطبيقات معًا 20 من 100 من VPNs الأكثر تنقلًا على المنصة ، مع 700 مليون مستخدم مذهل.
تثير النتائج أسئلة جدية حول الثقة والشفافية في صناعة مبنية على الخصوصية – وتسليط الضوء على كيفية تفاوت متاجر التطبيقات بشكل سيء.
تتبع البحث ، الذي أجرته مختبر المواطن في جامعة تورنتو ، هذه التطبيقات إلى ثلاث عائلات فقط VPN ، بعضها مع روسيا والصين. استخدم الباحثون ملفات الأعمال والتحليل الجنائي لمجموعات Android للكشف عن الاتصالات المخفية.
لقد اختبرت مجموعة من VPNs الشعبية. هذا هو الوحيد الذي أوصي به للبث.
الأسرة أ كان مرتبطًا بالاتصال المبتكر ، ونسيم الخريف ، وقرنفل الليمون ، وشملت لاعبين رئيسيين مثل Turbo VPN ، و VPN Proxy Master ، و Snap VPN – وكلها رمز وأصول متطابقة. الأسرة ب، المرتبطة بـ Matrix Mobile و Foreraya Technology و Wildlook Tech ، تدير XY VPN ، 3x VPN ، و MELON VPN ، والتي استخدمت نفس عناوين VPN. عائلة ج، مكون من البطاطا السريعة ومرتبطة مجانية محدودة ، والبطاطا السريعة التي يتم التحكم فيها VPN و X-VPN.
سرعة الضوء القابلة للضوء
إلى جانب عدم وجود شفافية ، وجدت الدراسة أيضًا عيوبًا أمنية خطيرة. بعض التطبيقات إعادة استخدام بيانات اعتماد تسجيل الدخول لـ Shadowsocks ، وهي أداة لتجاوز جدران الحماية. اعتمد آخرون على خوارزميات التشفير القديمة ، مما يترك المستخدمين أكثر تعرضًا. الأكثر فيما يتعلق بكل شيء ، كانت جميع عائلات VPN الثلاثة عرضة للهجمات الأعمى على المسار-مما يعني أن المتسللين على نفس الشبكة ، مثل Wi-Fi العام ، يمكن أن يعترضوا حركة المرور دون إدراك أي منها.
لاحظ الباحثون أن متاجر التطبيقات لديها قدرة محدودة على التحقق من من يدير VPN أو كيفية بنائه ، لأن أنظمة المراجعة الخاصة بهم تركز إلى حد كبير على اكتشاف البرامج الضارة وانتهاكات الخصوصية. كعلاج ، اقترحوا تقديم شارة تدقيق أمان لـ VPNS – وهي شهادة قد تمنح المستخدمين مزيدًا من الثقة في التطبيقات التي يختارونها.
تظل تفاصيل عملية مراجعة تطبيق Google غير واضحة. وفقًا لصفحة الدعم ، يجب على المطورين توفير سياسة خصوصية ، والكشف عن ما إذا كان التطبيق يحتوي على إعلانات ، والحصول على تصنيف محتوى ، ومشاركة ممارسات الخصوصية والأمان في التطبيق مع Google من أجل تمرير المراجعة.
لم ترد Google على الفور على طلبنا للتعليق على ممارسات التحقق الخاصة به.
