Um novo estudo descobriu Que mais de 20 aplicativos VPN na loja Google Play compartilham as mesmas bases de código e infraestrutura, apesar de se apresentarem como serviços independentes. Juntos, esses aplicativos representam 20 das 100 VPNs mais baixadas da plataforma, com 700 milhões de usuários.
As descobertas levantam questões sérias sobre confiança e transparência em um setor construído com base na privacidade – e destacam como as lojas de aplicativos mal podem veter a VPN.
A pesquisa, conduzida pelo Citizen Lab da Universidade de Toronto, rastreou esses aplicativos a apenas três famílias de VPN, algumas com vínculos com a Rússia e a China. Os investigadores usaram registros de negócios e análise forense de Android APKs para descobrir as conexões ocultas.
Eu testei um monte de VPNs populares. Este é o único que eu recomendo para streaming.
Família a estava vinculado à conexão inovadora, à brisa de outono e ao cravo de limão, e incluiu grandes gamers como Turbo VPN, VPN Proxy Grasp e Snap VPN – todos os quais compartilharam código e ativos idênticos. Família bvinculado à Matrix Cell, Foreraya Expertise e Wildlook Tech, operou o XY VPN, 3X VPN e Melon VPN, que usaram os mesmos endereços VPN. Família ccomposto de batata rápida e LIMITE LIMITED LIMITED, VPN de batata rápida controlada e X-VPN.
Velocidade de luz mashable
Além da falta de transparência, o estudo também encontrou sérias falhas de segurança. Alguns aplicativos reutilizaram credenciais de login para Shadowsocks, uma ferramenta para ignorar os firewalls. Outros confiaram em algoritmos de criptografia desatualizados, deixando os usuários mais expostos. Mais preocupante de todas, todas as três famílias de VPN eram vulneráveis a ataques cegos no caminho-o que significa que hackers na mesma rede, como o Public Wi-Fi, poderiam interceptar o tráfego sem que nenhuma das partes perceba.
Os pesquisadores observaram que as lojas de aplicativos têm capacidade limitada de verificar quem opera uma VPN ou como ela é construída, uma vez que seus sistemas de revisão estão amplamente focados na detecção de malware e violações de privacidade. Como remédio, eles sugeriram a introdução de um crachá de auditoria de segurança para VPNs – uma certificação que poderia dar aos usuários mais confiança nos aplicativos que escolherem.
As especificidades do processo de revisão de aplicativos do Google permanecem incertas. De acordo com uma página de suporteos desenvolvedores devem fornecer uma política de privacidade, divulgar se o aplicativo contém anúncios, obter uma classificação de conteúdo e compartilhar as práticas de privacidade e segurança do aplicativo com o Google para passar a revisão.
O Google não respondeu imediatamente ao nosso pedido de comentário sobre suas práticas de verificação.
