Ove VPN aplikacije sve špijuniraju: Milioni koriste, a ne znaju šta im preti
U eri kada digitalna privatnost postaje sve važnija, VPN aplikacije obećavaju da će vas zaštititi od znatiželjnih očiju, ali nova studija pokazuje da mnoge to obećanje ne ispunjavaju. Analiza koju je sproveo Zimperium zLabs, obuhvativši čak 800 besplatnih VPN aplikacija za Android i iOS, otkrila je ozbiljne bezbednosne propuste koji bacaju senku na čitavu industriju besplatnih servisa.
Umesto da budu brana između korisnika i potencijalnih napadača, mnoge od ovih aplikacija zapravo postaju dodatna ranjiva tačka u digitalnoj komunikaciji. Slaba enkripcija, zastarele biblioteke i loše implementirane sigurnosne mere ostavljaju korisnike izloženima, uprkos marketinškim tvrdnjama o potpunoj zaštiti.
Zastarela tehnologija, savršen mamac za hakere
Jedan od najvećih tehničkih problema koje je analiza otkrila jeste upotreba zastarelih softverskih biblioteka. Neke aplikacije još uvek koriste ranjive verzije OpenSSL-a, među kojima su i one koje sadrže ozloglašeni Heartbleed propust, poznat po tome što omogućava neovlašćeni pristup enkriptovanim podacima.
Takve bezbednosne rupe nisu bezazlene. One otvaraju vrata napadačima da prisluškuju saobraćaj između korisnika i interneta, dešifruju podatke i preuzmu kontrolu nad komunikacijom, a sve to dok korisnik veruje da je potpuno zaštićen.
Privatnost u magli, loše ili nepostojeće politike
Studija je otkrila da je oko četvrtina VPN aplikacija za iOS bez validne politike privatnosti, što je direktno kršenje Apple pravila. Mnoge aplikacije korisnicima ne objašnjavaju kako se njihovi podaci prikupljaju, čuvaju i koriste, ostavljajući prostor za zloupotrebe.
Bez transparentnosti, korisnici ne mogu znati da li njihovi podaci završavaju u rukama trećih strana, uključujući marketinške agencije ili čak nepoznate entitete u inostranstvu. U praksi, to znači da aplikacija koja bi trebalo da štiti vaše podatke zapravo može postati kanal za njihovo curenje.
Dozvole koje prevazilaze granice
Niz analiziranih aplikacija traži pristup funkcijama koje nemaju nikakve veze sa osnovnom VPN funkcijom. U pitanju su dozvole za mikrofon, lokaciju, pa čak i pristup sistemskim logovima, podacima koje nijedna VPN aplikacija ne bi smela da koristi.
Na iOS-u je utvrđeno da više od šest odsto aplikacija traži dozvole koje omogućavaju duboko zadiranje u operativni sistem. Takvo ponašanje nije samo kršenje pravila, već i direktna pretnja po bezbednost uređaja i privatnost korisnika.
Pretnja poslovanju, BYOD okruženja pod rizikom
U firmama koje koriste model „Donesi svoj uređaj” (BYOD), gde zaposleni koriste privatne telefone i laptopove u poslovne svrhe, ranjive VPN aplikacije predstavljaju tihu pretnju. Samo jedna loše osigurana aplikacija može postati ulazna tačka za kompromitaciju čitavog sistema.
Zaposleni koji pristupaju korporativnim mrežama putem nesigurnih aplikacija nesvesno otvaraju vrata napadačima ka osetljivim poslovnim podacima. Kako sve više ljudi radi od kuće ili sa puta, stručnjaci upozoravaju da lažni osećaj sigurnosti može biti skuplji od bilo kakvog sajber napada.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
