Ερευνητές ασφαλείας ανακάλυψαν κρίσιμες ευπάθειες σε top VPN apps που προσφέρονται δωρεάν για Android συσκευές. Οι ευπάθειες επιτρέπουν στους επιτιθέμενους να εκτελούν Man-in-the-Middle επιθέσεις και να κλέβουν ευαίσθητα δεδομένα των χρηστών.
Υπάρχουν πολλά επικίνδυνα VPN apps που έχουν εγκατασταθεί σε περισσότερες από 120 εκατομμύρια συσκευές. Το δωρεάν VPN, με το όνομα SuperVPN, έχει εγκατασταθεί σε τουλάχιστον 100 εκατομμύρια Android συσκευές.
Η συγκεκριμένη VPN εφαρμογή χρησιμοποιείται από χρήστες σε 150 χώρες.
Το SuperVPN έχει σχεδιαστεί από την SuperSoftTech, μια εταιρεία που εδρεύει στη Σιγκαπούρη. Στην πραγματικότητα, όμως, ανήκει στον ανεξάρτητο εκδότη εφαρμογών, Jinrong Zheng, από την Κίνα.
Μη κρυπτογραφημένες επικοινωνίες
Οι ερευνητές ασφαλείας εξέτασαν το SuperVPN και διαπίστωσαν ότι στέλνονται ευαίσθητα κρυπτογραφημένα δεδομένα μέσω μη ασφαλούς HTTP.
Επίσης, η VPN εφαρμογή περιέχει ένα κλειδί αποκρυπτογράφησης που επέτρεψε σε ερευνητές να αποκρυπτογραφήσουν τα δεδομένα.
Αυτό οδηγεί στην εύρεση ευαίσθητων δεδομένων σχετικά με τον server του SuperVPN, τα πιστοποιητικά του και τα credentials που χρειάζεται ο VPN server για τον έλεγχο ταυτότητας.
Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν αυτές τις πληροφορίες και να αντικαταστήσουν τα πραγματικά δεδομένα του SuperVPN server με ψεύτικα δεδομένα server.
Η σοβαρότητα των ευπαθειών
Σύμφωνα με τους εδικούς, οι επιτιθέμενοι μπορούν να εκμεταλλευτούν τις ευπάθειες στα VPN και να παρακολουθήσουν τις επικοινωνίες και τις δραστηριότητες των χρηστών. Με αυτόν τον τρόπο, μπορούν να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα, όπως τα sites που επισκέπτονται οι χρήστες. Επιπλέον, μπορούν να κλέψουν ονόματα χρήστη και κωδικούς πρόσβασης, φωτογραφίες, βίντεο, μηνύματα και πολλά άλλα.
Σύμφωνα με τους ερευνητές, “ορισμένες εφαρμογές έχουν τα κλειδιά κρυπτογράφησής τους μέσα στην VPN εφαρμογή. Αυτό σημαίνει ότι, ακόμη και αν τα δεδομένα είναι κρυπτογραφημένα, οι hackers μπορούν εύκολα να τα αποκρυπτογραφήσουν χρησιμοποιώντας αυτά τα κλειδιά”.
Οι προγραμματιστές των VPΝ εφαρμογών άφησαν μερικά από τα κλειδιά βοηθώντας τους επιτιθέμενους να αποκτούν εύκολη πρόσβαση στα κρυπτογραφημένα δεδομένα των χρηστών.
“Το 2016, το SuperVPN είχε μόνο 10.000 λήψεις. Τώρα, έχει περισσότερες από 100 εκατομμύρια. Παρόλο που πολλά άρθρα έλεγαν ότι το SuperVPN ήταν κακόβουλο, δεν έχει ακόμη αφαιρεθεί από το Play Store“, δήλωσαν οι ερευνητές.
