Не все VPN на Android одинаково полезны: приложения VPN пробивают брешь в безопасности

20 февраля, 2017

Угрожающее число сервисов VPN для Android дают пользователям намеренно ложное чувство безопасности. Особенно это касается стран, где коммуникации подвергаются цензуре или VPN жизненно необходима для защиты частных данных или даже обеспечения физической безопасности пользователей. В ходе исследования 283 VPN приложений на Android был выявлен достаточно высокий процент угрожающих личным данным и безопасности пользователей сервисов.

VPN на Android, устанавливаемые пользователями, обещают последним надежную защиту интернет-коммуникаций и соединение с частными сетями. На деле же заметная доля таких приложений не содержит шифрования, инфицировано вирусами, троянами и прочими «зловердами», перехватывает TLS трафик, отслеживает активность пользователей и манипулирует трафиком HTTP.

«В ходе наших экспериментов мы обнаружили несколько примеров VPN приложений на Android, которые содержат те или иные уязвимости, подвергающие опасности пользователей. К примеру, использование незащищенных туннельных протоколов VPN, а также утечки трафика iPv6 и DNS», - поясняет исследовательская группа, состоящая из представителей Научной и промышленной исследовательской организации Австралии (AU-CSIRO), университета Южного Уэльса, а также Института международных компьютерных наук при университете Беркли, Калифорния. Подробные результаты исследования и методология подробно описана в публикации «Анализ защищенности личных данных и риски безопасности при использовании VPN приложений для Android».

«Мы также выявили несколько приложений, активно применяющих перехват TLS. Особенно вызывают беспокойство VPN на Android, инъектирующие программы на JavaScript для отслеживания активности пользователя, рекламы и перенаправления трафика электронной коммерции своим партнерам», - поясняют исследователи.

В основном разработчики вредоносных приложений VPN для Android используют одну и ту же ключевую уязвимость под названием BIND_VPN_SERVICE, нативную поддержку платформой клиентов VPN, представленную Google в Android 4.0 Ice Cream Sandwich в 2011 году.

BIND_VPN_SERVICE используется разработчиками при создании клиентов для перехвата, манипулирования и перенаправления трафика на удаленной прокси или VPN сервер, либо для реализации прокси-сервера на локальной машине. Это мощный сервис Android, который легко поддается атакам злоумышленников, в зависимости от их намерений. В отчете об исследовании описывается, как Android VPN API открывает сетевой интерфейс по запросу приложений и маршрутизирует трафик смартфона или планшета на соответствующее приложение.

Разработчики обязаны объявлять доступ к BIND_VPN_SERVICE в файле AndroidManifest, однако только для одного приложения одновременно. Вероятность атаки высока в то время, когда происходит перемаршрутизация трафика. Android уведомляет пользователя об этом двумя предупреждениями – о создании интерфейса виртуальной сети и активности сервиса.

Однако, обычный пользователь смартфона из-за своей низкой осведомленности об особенностях работы сетей не понимает до конца опасности предоставления сторонним приложениям читать, блокировать и/или модифицировать мобильный трафик на своем устройстве.

Исследователи также отмечают, что топовые корпоративные решения от Cisco (AnyConnect) и Juniper (Junos), а также продукты для управления мобильными устройствами, построены на базе BIND_VPN_SERVICE.

Характерно, что 18% исследованных VPN сервисов для Android используют протоколы туннелирования без шифрования, хотя обещают пользователям защиту их данных. Это лишь один из примеров брешей в безопасности, обнаруженных при анализе популярных VPN приложений для смартфонов на Android.

«Как отсутствие шифрования, так и утечки трафика могут упростить отслеживание активности пользователя онлайн через коммерческие Wi-Fi точки доступа, собирающие различные данные о подключающихся к ним клиентам, а также средствами разведки наблюдением.

VirusTotal нашел в 38% проанализированных приложений VPN на Android вредоносный код. Меньшая часть, 16% сервисов VPN, перенаправляла трафик через пиров в сети, а не через хост, что повышает риск слежки за пользователем, кражи его данных и перемаршрутизации трафика. Тот же процент приложений использовал прокси для манипуляции HTTP-трафиком, ижектирую и удаляя заголовки, либо преобразуя изображения.

Однако, VPN приложения заходят дальше, чем обычные прокси-сервера HTTP. Исследователи выявили два VPN приложения, активно инъектирующих код на JavaScript в трафик пользователя с целью рекламы и отслеживания его действий. Одно из приложений перенаправляло трафик электронной коммерции сторонним рекламным партнерам.

Львиная доля приложений VPN на Android ( 75%) позволяет сторонним трекинговых сервиса отслеживать пользовательскую активность и запрашивает разрешение на доступ к информации об аккаунте и/или работе с текстовыми сообщениями, SMS (82%). Наконец, 4 приложения компрометировали рут-хранилище пользователей и активно перехватывали TLS «на лету».

Способность с помощью BIND_VPN_SERVICE взломать «песочницу» Android и наивные представления большинства пользователей о сторонних VPN приложениях предполагают, что необходимо пересмотреть порядок предоставления разрешения для VPN на Android с целью повышения степени контроля над VPN клиентами», - пишут в завершении исследователи, - «Наш анализ пользовательских отзывов и оценок приложениям VPN позволяет предположить, что подавляющее большинство пользователей не знают об опасностях, которым подвергаются, при использовании VPN приложений на Android, даже если речь идет о достаточно популярных сервисах».

VPN НА АНДРОИД: ДРУГИЕ СТАТЬИ И НОВОСТИ

Другие новости по теме: