Một phân tích bảo mật toàn diện đã phát hiện những lỗ hổng đáng báo động trên nhiều nhóm ứng dụng VPN miễn phí có sẵn trên Google Play Store, với tổng số lượt tải xuống hơn 700 triệu lần. Nghiên cứu được thực hiện bởi các chuyên gia bảo mật từ Bowdoin College và Arizona State University phối hợp với Breakingpoint Bad, phơi bày cách các dịch vụ VPN tưởng chừng độc lập lại chia sẻ cùng một cơ sở mã nguồn và các lỗ hổng bảo mật nghiêm trọng làm tổn hại quyền riêng tư của người dùng.
Phương pháp nghiên cứu
Nghiên cứu được thực hiện bởi:
- Các nhà nghiên cứu bảo mật của Đại học Bowdoin College
- Các nhà nghiên cứu của Đại học Arizona State University
- Breakingpoint Bad (tổ chức phi lợi nhuận chuyên về bảo mật kỹ thuật)
Phạm vi nghiên cứu:
- Phân tích top 100 VPN trên Google Play Store
- Tập trung vào 20 ứng dụng thuộc 3 nhóm
- Tổng số lượt tải xuống: hơn 700 triệu
- Được công bố tại Hội thảo Công nghệ Tăng cường Quyền riêng tư ( Privacy Enhancing Technologies Symposium - PETS )
 |
|---|
| Tương tác với công nghệ số trong khi điều hướng các rủi ro bảo mật của ứng dụng VPN |
Ba Nhóm VPN Có Liên Kết Được Phát Hiện
Cuộc điều tra đã xác định ba nhóm riêng biệt của các ứng dụng VPN mà dù tiếp thị bản thân như các dịch vụ độc lập, nhưng lại chia sẻ cơ sở hạ tầng và mã nguồn cực kỳ tương đồng. Nhóm A bao gồm các ứng dụng phổ biến như Turbo VPN, VPN Monster và VPN Proxy Master, tất cả đều chứa mã Java gần như giống hệt nhau, thư viện chia sẻ và tài sản chung. Nhóm B bao gồm các dịch vụ như Global VPN, XY VPN và Touch VPN, chia sẻ địa chỉ IP VPN và tham chiếu đến các nhà cung cấp Nhóm A trong chính sách quyền riêng tư của họ. Nhóm nhỏ nhất, Nhóm C, bao gồm X-VPN và Fast Potato VPN, cả hai đều sử dụng cấu trúc mã tương tự và triển khai giao thức độc quyền.
Các Ứng Dụng VPN Bị Ảnh Hưởng Theo Nhóm
Nhóm A (Innovative Connecting, Lemon Clove, Autumn Breeze):
- Turbo VPN
- Turbo VPN Lite
- VPN Monster
- VPN Proxy Master
- VPN Proxy Master - Lite
- Snap VPN
- Robot VPN
- SuperNet VPN
Nhóm B (MATRIX MOBILE PTE LTD, Super Z VPN, The Tool Tech, v.v.):
- Global VPN
- XY VPN
- Super Z VPN
- Touch VPN
- VPN ProMaster
- 3X VPN
- VPN Inf
- Melon VPN
Nhóm C (FreeConnectedLimited, Fast Potato):
- X-VPN
- Fast Potato VPN
Lỗ Hổng Bảo Mật Nghiêm Trọng Đe Dọa Dữ Liệu Người Dùng
Phát hiện đáng lo ngại nhất liên quan đến mật khẩu Shadowsocks được mã hóa cứng bên trong các tệp APK của ứng dụng. Những mật khẩu này cho phép kẻ tấn công giải mã lưu lượng người dùng, hoàn toàn phá hủy lời hứa bảo mật mà các dịch vụ VPN này đưa ra cho người dùng. Các lỗ hổng bổ sung bao gồm tính nhạy cảm với các cuộc tấn công blind-side, giao thức mã hóa yếu và các điểm yếu cho phép các cuộc tấn công suy luận kết nối. Những lỗ hổng như vậy về cơ bản khiến các VPN trở nên không hiệu quả trong việc bảo vệ quyền riêng tư của người dùng, mục đích chính mà mọi người cài đặt những ứng dụng này.
Các Lỗ Hổng Bảo Mật Chính Được Xác Định
| Loại Lỗ Hổng | Mức Độ Ảnh Hưởng | Mô Tả |
|---|---|---|
| Mật khẩu Shadowsocks được mã hóa cứng | Nghiêm trọng | Cho phép kẻ tấn công giải mã lưu lượng người dùng |
| Tấn công blind-side | Cao | Làm tổn hại bảo mật kết nối |
| Mã hóa yếu | Cao | Bảo vệ dữ liệu người dùng không đầy đủ |
| Tấn công suy luận kết nối | Trung bình | Cho phép phân tích mẫu lưu lượng |
| Hạ tầng chia sẻ | Trung bình | Giảm tính độc lập và minh bạch của dịch vụ |
Thực Tiễn Tiếp Thị Lừa Dối Đánh Lạc Hướng Người Tiêu Dùng
Nghiên cứu làm nổi bật cách các nhóm VPN này tham gia vào các thực tiễn có khả năng lừa dối bằng cách tự giới thiệu là các lựa chọn thay thế độc lập khi họ chia sẻ nguồn gốc và cơ sở hạ tầng chung. Điều này tạo ra ảo tưởng về sự lựa chọn cho người tiêu dùng duyệt Google Play Store, những người tin rằng họ đang so sánh các dịch vụ khác nhau khi thực chất họ đang xem xét các biến thể của cùng một sản phẩm. Thực tiễn này trở nên đặc biệt có vấn đề khi người dùng không thể đưa ra quyết định sáng suốt về các công cụ bảo mật của họ do thiếu tính minh bạch này.
Mô Hình Doanh Thu Gây Ra Thêm Mối Quan Ngại
Các dịch vụ VPN miễn phí này tạo ra doanh thu thông qua quảng cáo và thu thập dữ liệu, tạo ra xung đột lợi ích vốn có với quyền riêng tư của người dùng. Với hơn 700 triệu lượt tải xuống trên các ứng dụng được xác định, những dịch vụ này có khả năng tạo ra doanh thu quảng cáo đáng kể trong khi có thể làm tổn hại chính quyền riêng tư mà người dùng tìm cách bảo vệ. Nghiên cứu gợi ý về các kết nối có thể có với Trung Quốc, làm dấy lên thêm lo ngại về thực tiễn xử lý dữ liệu và tuân thủ các quy định thân thiện với quyền riêng tư.
Thách Thức Giám Sát Google Play Store
Sự phổ biến của những ứng dụng VPN có vấn đề này làm nổi bật những thách thức đáng kể trong giám sát cửa hàng ứng dụng và quy trình kiểm tra bảo mật. Trong khi Google cung cấp huy hiệu kiểm tra bảo mật cho các ứng dụng VPN, các nhà nghiên cứu đề xuất làm cho những huy hiệu như vậy trở thành bắt buộc và triển khai quy trình xác minh danh tính cho các nhà phát triển. Những hạn chế về khả năng mở rộng của hệ thống hiện tại khiến việc xác định phần mềm có thuộc tính bảo mật gây hiểu lầm trở nên khó khăn trước khi chúng tiếp cận hàng triệu người dùng.
Khuyến Nghị Để Bảo Vệ Người Dùng
Các chuyên gia bảo mật nhấn mạnh tầm quan trọng của việc lựa chọn các dịch vụ VPN trả phí đã được thiết lập với hồ sơ theo dõi đã được chứng minh và thực tiễn bảo mật minh bạch. Các nhà cung cấp có uy tín như NordVPN, ExpressVPN, Proton VPN và Surfshark trải qua các cuộc kiểm tra bảo mật thường xuyên và duy trì các chính sách rõ ràng về xử lý dữ liệu và tiêu chuẩn mã hóa. Người dùng nên đặc biệt thận trọng với các dịch vụ VPN miễn phí có vẻ quá tốt để có thể tin được, vì chi phí cơ sở hạ tầng để vận hành các máy chủ VPN đòi hỏi các mô hình doanh thu bền vững có thể làm tổn hại quyền riêng tư của người dùng.