MinhSec
Writer
Các ứng dụng VPN di động thường được quảng cáo như công cụ giúp bảo vệ quyền riêng tư và an toàn thông tin khi sử dụng điện thoại. Tuy nhiên, một phân tích mới của công ty bảo mật Zimperium trên gần 800 ứng dụng VPN miễn phí cho Android và iOS lại hé lộ một sự thật đáng lo ngại: nhiều ứng dụng không chỉ không bảo vệ người dùng, mà còn chính là nguồn làm rò rỉ dữ liệu nhạy cảm.
Theo báo cáo, phần lớn những ứng dụng này tồn tại nhiều lỗ hổng như cấu hình không an toàn, quyền truy cập nguy hiểm và sử dụng thư viện lỗi thời. Chúng có thể khiến dữ liệu cá nhân, thậm chí cả mạng nội bộ doanh nghiệp bị xâm nhập mà người dùng không hề hay biết. Đáng chú ý, một số ứng dụng còn gửi siêu dữ liệu chưa được mã hóa tới các máy chủ bên ngoài, bỏ qua hoàn toàn cơ chế mã hóa đường hầm vốn là tính năng cốt lõi của VPN.
Các nhà nghiên cứu cho biết, trên Android, nhiều ứng dụng bị cài kèm mô-đun độc hại kích hoạt các yêu cầu mạng ngầm khi khởi động. Trong khi đó, trên iOS, quyền truy cập được cấu hình sai hoặc quá rộng cho phép thu thập dữ liệu vị trí, nhật ký sử dụng và báo cáo lỗi. Việc thiếu xác thực chứng chỉ càng khiến người dùng dễ trở thành mục tiêu cho các cuộc tấn công trung gian.
Một trong những cơ chế nguy hiểm nhất nằm ở việc lạm dụng quyền hệ thống. Trên Android, quyền READ_LOGS cho phép ứng dụng đọc toàn bộ nhật ký hệ thống bao gồm cả dữ liệu nhập từ bàn phím hay mã xác thực và gửi về máy chủ của kẻ tấn công.
Tương tự, trên iOS, quyền LOCATION_ALWAYS cấp quyền truy cập vị trí GPS liên tục, giúp tin tặc dễ dàng kết hợp dữ liệu di chuyển với lịch sử duyệt web để theo dõi người dùng theo thời gian thực.
Khi các quyền bị cấp vượt mức cần thiết, những ứng dụng VPN miễn phí này biến từ công cụ bảo vệ thành nền tảng giám sát hoàn hảo. Người dùng chỉ nhận ra sự cố khi xuất hiện các dấu hiệu bất thường như tài khoản bị khóa, lưu lượng mạng lạ hoặc rò rỉ thông tin cá nhân.
Các chuyên gia khuyến nghị người dùng nên chọn VPN có uy tín, công khai chính sách bảo mật và cập nhật thường xuyên, đồng thời kiểm tra kỹ các quyền ứng dụng trước khi cài đặt. Trong thế giới số hiện nay, “miễn phí” đôi khi chính là cái giá phải trả cho việc đánh mất quyền riêng tư.
cybersecuritynews.com
Theo báo cáo, phần lớn những ứng dụng này tồn tại nhiều lỗ hổng như cấu hình không an toàn, quyền truy cập nguy hiểm và sử dụng thư viện lỗi thời. Chúng có thể khiến dữ liệu cá nhân, thậm chí cả mạng nội bộ doanh nghiệp bị xâm nhập mà người dùng không hề hay biết. Đáng chú ý, một số ứng dụng còn gửi siêu dữ liệu chưa được mã hóa tới các máy chủ bên ngoài, bỏ qua hoàn toàn cơ chế mã hóa đường hầm vốn là tính năng cốt lõi của VPN.
Các nhà nghiên cứu cho biết, trên Android, nhiều ứng dụng bị cài kèm mô-đun độc hại kích hoạt các yêu cầu mạng ngầm khi khởi động. Trong khi đó, trên iOS, quyền truy cập được cấu hình sai hoặc quá rộng cho phép thu thập dữ liệu vị trí, nhật ký sử dụng và báo cáo lỗi. Việc thiếu xác thực chứng chỉ càng khiến người dùng dễ trở thành mục tiêu cho các cuộc tấn công trung gian.
Khi “bảo mật miễn phí” trở thành công cụ theo dõi
Một trong những cơ chế nguy hiểm nhất nằm ở việc lạm dụng quyền hệ thống. Trên Android, quyền READ_LOGS cho phép ứng dụng đọc toàn bộ nhật ký hệ thống bao gồm cả dữ liệu nhập từ bàn phím hay mã xác thực và gửi về máy chủ của kẻ tấn công.
Tương tự, trên iOS, quyền LOCATION_ALWAYS cấp quyền truy cập vị trí GPS liên tục, giúp tin tặc dễ dàng kết hợp dữ liệu di chuyển với lịch sử duyệt web để theo dõi người dùng theo thời gian thực.
Khi các quyền bị cấp vượt mức cần thiết, những ứng dụng VPN miễn phí này biến từ công cụ bảo vệ thành nền tảng giám sát hoàn hảo. Người dùng chỉ nhận ra sự cố khi xuất hiện các dấu hiệu bất thường như tài khoản bị khóa, lưu lượng mạng lạ hoặc rò rỉ thông tin cá nhân.
Các chuyên gia khuyến nghị người dùng nên chọn VPN có uy tín, công khai chính sách bảo mật và cập nhật thường xuyên, đồng thời kiểm tra kỹ các quyền ứng dụng trước khi cài đặt. Trong thế giới số hiện nay, “miễn phí” đôi khi chính là cái giá phải trả cho việc đánh mất quyền riêng tư.
Hundreds of Free VPN Apps for Both Android and iOS Leaks Users Personal Data
Study of 800 free mobile VPN apps shows many leak sensitive data via insecure configs, risky permissions, and outdated libraries.
cybersecuritynews.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
