Бепул VPN иловалари хавф остида: 2,4 миллиард фойдаланувчи маълумотлари сизиб чиқди

Бепул VPN иловалари хавф остида: 2,4 миллиард фойдаланувчи маълумотлари сизиб чиқди

Халқаро тадқиқотчилар гуруҳи Android операцион тизими учун мўлжалланган бепул VPN иловаларида жиддий хавфсизлик муаммоларини аниқлади. Ўтказилган таҳлиллар шуни кўрсатадики, махфийликни вада қилувчи кўплаб сервислар аслида фойдаланувчи маълумотларини очиқлаши, уларни реклама компанияларига узатиши ва ҳатто интернет-трафикни ўғирлашга имкон бериши мумкин. Энг хавотирлиси, аниқланган заифликларга эга иловалар бугунги кунга қадар жами 2,4 миллиард мартадан ортиқ юклаб олинган. Бу ҳақда Ixbt.com хабар беради.

Мишиган университети, Ню-Мексико университети ва Деҳлидаги Ҳиндистон технология институти мутахассислари томонидан ўтказилган ушбу тадқиқотда 281 та дастур таҳлил қилинди. Олимлар ўзлари ишлаб чиққан MVPНалйзер воситаси ёрдамида Android 14 тизимида ишловчи қурилмаларни синовдан ўтказишди. Натижалар киберхавфсизлик бўйича нуфузли НДСС конференциясида тақдим этилди.

Трафикни бошқа манзилга йўналтириш хавфи

Тадқиқот давомида бешта йирик VPN иловаси конфигурация файлларини шифрланмаган ҳолда юклаб олиши маълум бўлди. Бу файллар уланиш параметрларини ва фойдаланувчи трафики ўтадиган серверни белгилайди. Бундай ҳолат, айниқса, жамоат жойларидаги очиқ Wi-Fi тармоқларида ўта хавфлидир. Хакерлар уланишни сохталаштириб, барча трафикни ўз серверларига йўналтириши мумкин, фойдаланувчи эса VPN одатдагидек ишлаяпти деб ўйлашда давом этаверади.

Маълумотларнинг сизиб чиқиши фақат трафик билан чекланиб қолмаяпти. Текширилган 281 та иловадан 29 таси трафикни тўлиқ ҳимоя қила олмаслиги аниқланди. Бундан ташқари, тадқиқотчилар қуйидаги хавотирли ҳолатларни қайд этишди:

  • 76 та иловада қурилманинг реклама идентификаторини (ИД) узатиш механизми топилган;
  • 246 та дастур реклама ва таҳлилий платформаларга уланиб, смартфон модели, экран ўлчами ва Android версияси каби маълумотларни юборган;
  • Айрим ҳолатларда иловалар фойдаланувчининг аниқ ГПС координаталарини ҳам учинчи томонларга узатган.

Эскирган технологиялар ва заиф ҳимоя

Мутахассислар энг машҳур VPN протоколларидан бири бўлган ОпенVPN созламаларига ҳам алоҳида эътибор қаратишди. Ушбу протоколдан фойдаланувчи 108 та иловадан фақат биттаси барча хавфсизлик талабларига жавоб берган. Дастурларнинг қарийб 89 фоизи ишончли сертификат ва парол комбинацияси ўрнига фақат битта аутентификация усулидан фойдаланган, бу эса ҳимоя даражасини кескин камайтиради.

Шунингдек, ҳар бешинчи илова бугунги кунда эскирган ва заиф деб ҳисобланувчи Бловфиш ҳамда Трипле ДEС шифрлаш алгоритмларини қўлламоқда. ixbt.com маълумотига кўра, муаммо кўплаб бепул сервислар ўз вақтида янгиланмаслиги туфайли янада чуқурлашмоқда. Google Play дўконидаги Верифиед белгиси ҳам илованинг мутлақ хавфсизлигига кафолат бера олмайди, чунки автоматик текширувлар бундай мураккаб заифликларни ҳар доим ҳам аниқлай олмайди.

Экспертлар фойдаланувчиларга агрессив реклама таклиф қилувчи бепул VPN хизматларидан эҳтиёт бўлишни тавсия қилади. Ўзбекистонлик фойдаланувчилар учун ҳам бу долзарб мавзу, чунки кўпчилик ижтимоий тармоқларга киришда айнан шундай текин иловалардан фойдаланади. Энг ишончли йўл — мустақил хавфсизлик аудитидан ўтган ва маълумотлар ҳимоясини амалда исботлай олган пуллик ёки нуфузли сервисларни танлашдир.

Zamin.uz сайтини Google'га қўшинг"Zamin"ни Telegram'да ўқинг!
Zamin AI билан мухокама килингЯнгиликни тахлил килинг, фойдали маслихатлар олинг

Изоҳлар 0

Мавзуга оид янгиликлар