Cómo los clientes VPN de Android espían a los usuarios
La prueba de clientes VPN probó tres modos posibles de interceptar y redirigir el tráfico a través de un cliente VPN: intercepción local (1); redirección a la nube a través del servidor VPN (2); reenvío entre pares a través de un nodo que participa en el sistema (3). El sniffer ICSI Netalyzr realizó un análisis de rastreo y tráfico a través de un punto de acceso WiFi configurado.Con el lanzamiento de Android 4.0 en octubre de 2011, los desarrolladores de aplicaciones móviles recibieron soporte nativo para clientes VPN integrados a través de la clase Android VPN Service. A diferencia de los sistemas operativos de escritorio, donde una aplicación requiere acceso de root para crear interfaces virtuales, para Android es suficiente solicitar permiso BIND_VPN_SERVICEpara crear un cliente VPN.La documentación oficial para el sistema operativo Android advierte sobre problemas graves de seguridad cuando se utiliza la clase mencionada . Una vez recibido dicho permiso, la aplicación recibe el derecho de interceptar y completar el control del tráfico del dispositivo.¿Por qué un programa podría necesitar permiso de VPN? Algunas aplicaciones usan esta función para evitar la censura estatal y proteger contra intrusos, para garantizar el anonimato: aquí la VPN es bastante apropiada. Sin embargo, muchas más aplicaciones maliciosas solicitan permiso para hacer un túnel del tráfico por una sola razón: para recopilar datos confidenciales. Desafortunadamente, algunos usuarios carecen del conocimiento técnico para comprender las credenciales y todos los peligros de una aplicación de Android que ha obtenido acceso a la clase.VpnService- Esto es a pesar de todas las advertencias que emite el sistema operativo.Un equipo de expertos en seguridad de la Universidad de California en Berkeley (EE. UU.), La Universidad de Nueva Gales del Sur (Australia) y la Asociación Estatal de Investigación Científica y Aplicada de Australia (CSIRO) realizaron un estudio sobre la extensión del problema de fuga de datos confidenciales a través de aplicaciones de Android que obtuvieron acceso a BIND_VPN_SERVICE. Estudiaron 283 aplicaciones del catálogo de Google Play: estos son clientes VPN (67%), programas corporativos con VPN (10%), optimizadores de tráfico (4%), mensajería instantánea con VPN (3%), filtros de tráfico (2%), registradores tráfico (2%), antivirus (1%), clientes Tor (1%) y otros (10%).Para evaluar los programas, se desarrolló un conjunto de pruebas que combinan análisis de código estático y métodos especialmente desarrollados de pruebas de red activas. Aparentemente, este es el primer análisis a gran escala de clientes VPN para Android en busca de fuga de información.El análisis estático incluyó el análisis de los permisos que solicitan las aplicaciones, teniendo en cuenta las bibliotecas para el seguimiento (utilizando ApkTool), teniendo en cuenta los virus y los componentes maliciosos (utilizando la API abierta VirusTotal).Por ejemplo, la tabla muestra los resultados de los análisis antivirus de clientes VPN populares con más de 500 mil instalaciones. Como puede ver, para la mitad de ellos, el análisis antivirus dio un resultado positivo (la columna "Análisis AV" en la tabla), y la otra mitad de los clientes VPN tuvieron éxito truco antivirus limpio.| App | Clase | Calificación | Comentarios | Instalaciones | Control AV |
|---|
| EasyOvpn | Gratis | 4.2 4.2 | 84,400 | 5 millones | + |
| VPN gratis | Pagado | 4.0 4.0 | 15,788 | 1 millón | + |
| Tigervpns | Gratis | 4.1 | 36 617 | 1 millón | + |
| DNSet | Pagado | 4.0 4.0 | 21,699 | 500 mil | - |
| CM Data Manager | Pagado | 4.3 4.3 | 11 005 | 1 millón | - |
| VPN cohete | Gratis | 4.2 4.2 | 11 625 | 500 mil | + |
| VPN Globus | Gratis | 4.3 4.3 | 14,273 | 500 mil | - |
| Spotflux VPN | Gratis | 4.0 4.0 | 14,095 | 500 mil | - |
| Cyberghost | Gratis | 4.0 4.0 | 13,689 | 500 mil | + |
Considerando no solo los clientes populares, sino también los menos populares, la mayoría de los antivirus encontraron el código malicioso en los siguientes programas: OkVpn (24 antivirus con un resultado positivo), EasyVpn (22), SuperVPN (13), Betternet (13), CrossVpn (11 ), Archie VPN (10), HatVPN (10), sFly Network Booster (10), One Click VPN (6), Pago rápido y seguro (5).El análisis estático de la funcionalidad y el análisis de tráfico activo revelaron varios hechos inquietantes. Resultó que el 18% de los clientes VPN no encriptan el tráfico de usuarios. El 38% de los clientes inyectan software malicioso o anuncios maliciosos en el tráfico con el propósito específico de acceder a la información del usuario. Es irónico que las personas instalen dichos programas para proteger su información del acceso no autorizado, proteger su anonimato y mantener la confidencialidad, pero en la práctica obtienen lo contrario. Estos clientes VPN maliciosos se instalan en computadoras de decenas de millones de usuarios.Los investigadores descubrieron que el 80% de las aplicaciones solicitan acceso a una variedad de información confidencial, incluidas cuentas de usuario y mensajes de texto. Dos tercios de los clientes VPN vienen con bibliotecas de seguimiento de terceros. Esto es significativamente más que en aplicaciones regulares.
Distribución de bibliotecas de seguimiento de terceros en clientes VPN gratuitos y de pago, así como en todas las aplicaciones del catálogo de Google Play (para comparación)Aunque la mayoría de estas aplicaciones permiten el trabajo anónimo en Internet (en cierto sentido), en realidad recolectan una gran cantidad datos personales sobre los usuarios, que luego pueden venderse a terceros.Según un análisis de las revisiones en Google Play, solo el 1% de los usuarios expresó cierta preocupación con respecto a la privacidad o la seguridad en relación con los clientes VPN en su teléfono inteligente Android.Antes de que se publicara el informe (pdf), se envió a los desarrolladores de clientes VPN y otros especialistas en seguridad. Como resultado, algunos desarrolladores corrigieron vulnerabilidades de seguridad en sus programas, mientras que otros los eliminaron del directorio de Google Play. "Siempre preste atención a los permisos de las aplicaciones que descarga", diceProfesor Dali Kaafar, investigador jefe de CSIRO para privacidad y seguridad en línea. "El estudio mostró que los usuarios de clientes VPN deberían examinar cuán graves son los problemas con estas aplicaciones y cuán grandes son los riesgos que enfrentan al usar estos servicios".Source: https://habr.com/ru/post/es400961/
All Articles