Nghiên cứu mới đã phát hiện các vấn đề bảo mật nghiêm trọng trong tám ứng dụng VPN phổ biến phục vụ hơn 700 triệu người dùng trên toàn thế giới. Nghiên cứu này tiết lộ những ứng dụng này chứa các lỗ hổng quyền riêng tư lớn và có những mối liên hệ đáng lo ngại với lực lượng quân sự Trung Quốc.
Nghiên cứu do Benjamin Mixon-Baca và các đồng nghiệp thực hiện, đã kiểm tra 32 ứng dụng VPN phổ biến trên Google Play Store. Những phát hiện của họ cho thấy rằng trong khi các VPN hứa hẹn bảo vệ quyền riêng tư của người dùng, nhiều nhà cung cấp thương mại hoạt động với tính minh bạch đáng ngờ và đặt người dùng vào nguy cơ đáng kể.
Phạm vi nghiên cứu:
- 32 ứng dụng VPN phổ biến được phân tích
- 21 nhà cung cấp VPN có vẻ riêng biệt được kiểm tra
- Hơn 1 tỷ lượt tải xuống tổng cộng trên Google Play Store
- Người dùng chủ yếu tại: India , Indonesia , Russia , Pakistan , Saudi Arabia , Turkey , UAE , Bangladesh , Egypt , Algeria , Singapore và Brazil
 |
|---|
| Một bài viết nổi bật nghiên cứu về các lỗ hổng bảo mật VPN và tầm quan trọng của tính minh bạch trong ngành công nghiệp VPN |
Vấn đề tin cậy với VPN thương mại
Cộng đồng công nghệ từ lâu đã tranh luận về việc liệu các VPN thương mại có thực sự thực hiện được những lời hứa bảo mật của họ hay không. Nhiều người dùng mua dịch vụ VPN dựa trên những tuyên bố tiếp thị mơ hồ về việc ngăn chặn trộm cắp danh tính hoặc cần thiết cho bảo mật, mà không hiểu họ thực sự đang mua gì. Thực tế là việc sử dụng VPN có nghĩa là chuyển giao lòng tin từ nhà cung cấp dịch vụ internet của bạn sang công ty VPN - một quyết định mang theo những tác động nghiêm trọng.
Các cuộc thảo luận trong cộng đồng tiết lộ rằng hầu hết mọi người sử dụng VPN cho các mục đích thực tế như truy cập nội dung bị chặn theo vùng địa lý, tránh khiếu nại của ISP về việc torrent, hoặc vượt qua các hạn chế tại nơi làm việc. Tuy nhiên, việc tiếp thị thường tập trung vào những tuyên bố bảo mật dựa trên sợ hãi có thể không phù hợp với mức độ bảo vệ thực tế được cung cấp.
Phát hiện lỗ hổng bảo mật nghiêm trọng
Các ứng dụng VPN có vấn đề chứa một số lỗ hổng bảo mật quan trọng làm suy yếu mục đích cơ bản của chúng. Bao gồm mật khẩu được mã hóa cứng chia sẻ giữa tất cả người dùng, khiến kẻ tấn công có thể giải mã lưu lượng VPN cho mọi người sử dụng dịch vụ. Các ứng dụng cũng sử dụng Shadowsocks cho việc tạo đường hầm, được thiết kế để vượt qua kiểm duyệt thay vì cung cấp tính bảo mật.
Có lẽ đáng lo ngại nhất, những VPN này dễ bị tấn công nơi các kẻ độc hại có thể chặn và sửa đổi thông tin liên lạc của người dùng mà không bị phát hiện. Một số ứng dụng cũng thu thập dữ liệu vị trí của người dùng mặc dù tuyên bố họ không thu thập thông tin này.
Các lỗ hổng bảo mật chính được phát hiện:
- Mật khẩu được mã hóa cứng dùng chung cho tất cả người dùng
- Sử dụng Shadowsocks để tạo đường hầm (được thiết kế cho việc truy cập, không phải bảo mật)
- Dễ bị tấn công blind-in/on-path từ phía máy khách/máy chủ
- Trích xuất dữ liệu vị trí người dùng bất chấp các tuyên bố về quyền riêng tư
- Khả năng cho phép kẻ tấn công loại bỏ mã hóa và giải mã lưu lượng VPN
Mối liên hệ với quân đội Trung Quốc gây báo động
Nghiên cứu đã xác định hai nhóm nhà cung cấp VPN với các mô hình sở hữu đáng lo ngại. Nhóm đầu tiên bao gồm các công ty có mối liên hệ đã được thiết lập với Quân Giải phóng Nhân dân Trung Quốc ( PLA ) và công ty an ninh mạng Trung Quốc Qihoo 360 . Nhóm thứ hai cho thấy các đặc điểm hoạt động tương tự và dường như được kiểm soát bởi cùng một công dân Trung Quốc, mặc dù các mối liên hệ quân sự trực tiếp chưa được xác nhận.
Những mối liên hệ này đặc biệt đáng lo ngại bởi vì người dùng tìm kiếm bảo vệ quyền riêng tư có thể vô tình định tuyến lưu lượng của họ thông qua các dịch vụ được kiểm soát bởi lợi ích quân sự nước ngoài. Các ứng dụng chia sẻ mã và cơ sở hạ tầng mặc dù có vẻ như đến từ các công ty khác nhau, cho thấy hoạt động được phối hợp dưới quyền sở hữu ẩn.
Các Nhóm Nhà Cung Cấp VPN Có Vấn Đề:
Cụm Thứ Nhất (có liên kết với PLA):
- INNOVATING CONNECTING LIMITED
- AUTUMN BREEZE PTE. LIMITED
- LEMON CLOVE PTE. LIMITED
Cụm Thứ Hai (có đặc điểm tương tự):
- MATRIX MOBILE PTE. LTD.
- ForeRaya Technologies PTE LTD
- Wildlook Tech Pte Ltd.
- Hong Kong Silence Technology
- Yolo Technology Limited
VPN miễn phí có rủi ro cao hơn
Nghiên cứu xác nhận những gì nhiều chuyên gia công nghệ từ lâu đã nghi ngờ - các dịch vụ VPN miễn phí gây ra rủi ro lớn hơn so với các lựa chọn thay thế trả phí. VPN thương mại miễn phí thường kiếm tiền từ dữ liệu người dùng và có thể tham gia vào các hoạt động có vấn đề về mặt đạo đức. Một số thành viên cộng đồng lưu ý rằng các dịch vụ miễn phí thậm chí có thể sử dụng thiết bị của khách hàng làm nút proxy cho các hoạt động thương mại khác.
Tuy nhiên, ngay cả các dịch vụ VPN trả phí cũng không miễn nhiễm với các vấn đề. Nghiên cứu cho thấy rằng tính minh bạch và bảo mật không phải lúc nào cũng tương quan với giá cả, và người dùng cần đánh giá cẩn thận các nhà cung cấp dựa trên thực tiễn thực tế của họ thay vì tuyên bố tiếp thị.
Đưa ra lựa chọn VPN sáng suốt
Đối với những người dùng thực sự cần dịch vụ VPN, điều quan trọng là hiểu mô hình mối đe dọa cụ thể của bạn và chọn nhà cung cấp phù hợp. Nếu bạn chỉ đơn giản cố gắng tránh khiếu nại của ISP về torrent hoặc truy cập nội dung bị chặn theo vùng địa lý, các yêu cầu bảo mật khác biệt đáng kể so với ai đó đối mặt với giám sát hoặc kiểm duyệt của chính phủ.
Nghiên cứu nhấn mạnh rằng người dùng nên ưu tiên tính minh bạch trong các nhà cung cấp VPN, mặc dù điều này tạo ra sự đánh đổi. Các nhà cung cấp minh bạch có thể dễ dàng bị nhắm mục tiêu bởi các cơ quan chức năng hơn, trong khi các nhà cung cấp ẩn danh có thể che giấu ý định độc hại. Thách thức nằm ở việc tìm các dịch vụ cân bằng những mối quan tâm này một cách thích hợp.
Khi quyền riêng tư trực tuyến trở nên ngày càng quan trọng, nghiên cứu này làm nổi bật nhu cầu về các tiêu chuẩn và giám sát tốt hơn trong ngành VPN. Người dùng xứng đáng được biết ai kiểm soát các dịch vụ mà họ tin tưởng với dữ liệu của mình, và các cửa hàng ứng dụng nên xác định rõ ràng nhà cung cấp nào hoạt động minh bạch so với những nhà cung cấp không làm như vậy.