Bepul VPN ilovalari xavf ostida: 2,4 milliard foydalanuvchi maʼlumotlari sizib chiqdi

Bepul VPN ilovalari xavf ostida: 2,4 milliard foydalanuvchi maʼlumotlari sizib chiqdi

Xalqaro tadqiqotchilar guruhi Android operatsion tizimi uchun moʻljallangan bepul VPN ilovalarida jiddiy xavfsizlik muammolarini aniqladi. Oʻtkazilgan tahlillar shuni koʻrsatadiki, maxfiylikni vaʼda qiluvchi koʻplab servislar aslida foydalanuvchi maʼlumotlarini ochiqlashi, ularni reklama kompaniyalariga uzatishi va hatto internet-trafikni oʻgʻirlashga imkon berishi mumkin. Eng xavotirlisi, aniqlangan zaifliklarga ega ilovalar bugungi kunga qadar jami 2,4 milliard martadan ortiq yuklab olingan. Bu haqda Ixbt.com xabar beradi.

Mishigan universiteti, Nyu-Meksiko universiteti va Dehlidagi Hindiston texnologiya instituti mutaxassislari tomonidan oʻtkazilgan ushbu tadqiqotda 281 ta dastur tahlil qilindi. Olimlar oʻzlari ishlab chiqqan MVPNalyzer vositasi yordamida Android 14 tizimida ishlovchi qurilmalarni sinovdan oʻtkazishdi. Natijalar kiberxavfsizlik boʻyicha nufuzli NDSS konferensiyasida taqdim etildi.

Trafikni boshqa manzilga yoʻnaltirish xavfi

Tadqiqot davomida beshta yirik VPN ilovasi konfiguratsiya fayllarini shifrlanmagan holda yuklab olishi maʼlum boʻldi. Bu fayllar ulanish parametrlarini va foydalanuvchi trafiki oʻtadigan serverni belgilaydi. Bunday holat, ayniqsa, jamoat joylaridagi ochiq Wi-Fi tarmoqlarida oʻta xavflidir. Xakerlar ulanishni soxtalashtirib, barcha trafikni oʻz serverlariga yoʻnaltirishi mumkin, foydalanuvchi esa VPN odatdagidek ishlayapti deb oʻylashda davom etaveradi.

Maʼlumotlarning sizib chiqishi faqat trafik bilan cheklanib qolmayapti. Tekshirilgan 281 ta ilovadan 29 tasi trafikni toʻliq himoya qila olmasligi aniqlandi. Bundan tashqari, tadqiqotchilar quyidagi xavotirli holatlarni qayd etishdi:

  • 76 ta ilovada qurilmaning reklama identifikatorini (ID) uzatish mexanizmi topilgan;
  • 246 ta dastur reklama va tahliliy platformalarga ulanib, smartfon modeli, ekran oʻlchami va Android versiyasi kabi maʼlumotlarni yuborgan;
  • Ayrim holatlarda ilovalar foydalanuvchining aniq GPS koordinatalarini ham uchinchi tomonlarga uzatgan.

Eskirgan texnologiyalar va zaif himoya

Mutaxassislar eng mashhur VPN protokollaridan biri boʻlgan OpenVPN sozlamalariga ham alohida eʼtibor qaratishdi. Ushbu protokoldan foydalanuvchi 108 ta ilovadan faqat bittasi barcha xavfsizlik talablariga javob bergan. Dasturlarning qariyb 89 foizi ishonchli sertifikat va parol kombinatsiyasi oʻrniga faqat bitta autentifikatsiya usulidan foydalangan, bu esa himoya darajasini keskin kamaytiradi.

Shuningdek, har beshinchi ilova bugungi kunda eskirgan va zaif deb hisoblanuvchi Blowfish hamda Triple DES shifrlash algoritmlarini qoʻllamoqda. ixbt.com maʼlumotiga koʻra, muammo koʻplab bepul servislar oʻz vaqtida yangilanmasligi tufayli yanada chuqurlashmoqda. Google Play doʻkonidagi Verified belgisi ham ilovaning mutlaq xavfsizligiga kafolat bera olmaydi, chunki avtomatik tekshiruvlar bunday murakkab zaifliklarni har doim ham aniqlay olmaydi.

Ekspertlar foydalanuvchilarga agressiv reklama taklif qiluvchi bepul VPN xizmatlaridan ehtiyot boʻlishni tavsiya qiladi. Oʻzbekistonlik foydalanuvchilar uchun ham bu dolzarb mavzu, chunki koʻpchilik ijtimoiy tarmoqlarga kirishda aynan shunday tekin ilovalardan foydalanadi. Eng ishonchli yoʻl — mustaqil xavfsizlik auditidan oʻtgan va maʼlumotlar himoyasini amalda isbotlay olgan pullik yoki nufuzli servislarni tanlashdir.

Zamin.uz saytini Google'ga qo'shing"Zamin"ni Telegram'da o'qing!
Zamin AI bilan muhokama qilingYangilikni tahlil qiling, foydali maslahatlar oling

Izohlar 0

Mavzuga oid yangiliklar