Comment les clients VPN Android espionnent les utilisateurs
Le test des clients VPN a testé trois modes possibles d'interception et de redirection du trafic via un client VPN: interception locale (1); redirection vers le cloud via le serveur VPN (2); transmission par les pairs via un nœud participant au système (3). Le reniflement et l'analyse du trafic ont été effectués par le renifleur ICSI Netalyzr via un point d'accès Wi-Fi configuré.Avec la sortie d'Android 4.0 en octobre 2011, les développeurs d'applications mobiles ont reçu une prise en charge native des clients VPN intégrés par le biais de la classe Android VPN Service. Contrairement aux systèmes d'exploitation de bureau, où une application nécessite un accès root pour créer des interfaces virtuelles, pour Android, il suffit de demander l'autorisation BIND_VPN_SERVICEde créer un client VPN.La documentation officielle du système d'exploitation Android met en garde contre de graves problèmes de sécurité lors de l'utilisation de la classe mentionnée . Après avoir reçu une telle autorisation, l'application reçoit le droit d'intercepter et de contrôler complètement le trafic provenant de l'appareil.Pourquoi un programme peut-il avoir besoin d'une autorisation VPN? Certaines applications utilisent cette fonctionnalité pour contourner la censure de l'État et se protéger contre les intrus, pour garantir l'anonymat - ici, le VPN est tout à fait approprié. Cependant, beaucoup plus d'applications malveillantes demandent l'autorisation de tunneler le trafic pour une seule raison: collecter des données sensibles. Malheureusement, certains utilisateurs n'ont pas les connaissances techniques pour comprendre les informations d'identification et tous les dangers d'une application Android qui a accédé à la classe.VpnService- ceci malgré tous les avertissements émis par le système d'exploitation.Une équipe d'experts en sécurité de l'Université de Californie à Berkeley (États-Unis), de l'Université de New South Wales (Australie) et de la State Association for Scientific and Applied Research Australia (CSIRO) a mené une étude sur la fréquence du problème de fuite de données confidentielles via des applications Android qui ont pu accéder à BIND_VPN_SERVICE. Ils ont étudié 283 applications du catalogue Google Play - ce sont des clients VPN (67%), des programmes d'entreprise avec VPN (10%), des optimiseurs de trafic (4%), des messagers instantanés avec VPN (3%), des filtres de trafic (2%), des enregistreurs trafic (2%), antivirus (1%), clients Tor (1%) et autres (10%).Pour évaluer les programmes, un ensemble de tests a été développé qui combine l'analyse de code statique et des méthodes spécialement développées de tests de réseau actifs. Apparemment, il s'agit de la première analyse à grande échelle des clients VPN pour Android pour les fuites d'informations.L'analyse statique comprenait l'analyse des autorisations demandées par les applications, la prise en compte des bibliothèques de suivi (à l'aide d'ApkTool), la prise en compte des virus et des composants malveillants (à l'aide de l'API VirusTotal ouverte).Par exemple, le tableau montre les résultats des analyses antivirus des clients VPN populaires avec plus de 500 000 installations. Comme vous pouvez le voir, pour la moitié d'entre eux, l'analyse antivirus a donné un résultat positif (la colonne «Analyse AV» dans le tableau), et l'autre moitié des clients VPN a réussi astuce antivirus propre.| App | Classe | Évaluation | Les avis | Installations | Vérification AV |
|---|
| EasyOvpn | Gratuit | 4.2 | 84 400 | 5 millions | + |
| VPN gratuit | Payé | 4,0 | 15 788 | 1 million | + |
| Tigervpns | Gratuit | 4.1 | 36 617 | 1 million | + |
| DNSet | Payé | 4,0 | 21 699 | 500 mille | - |
| CM Data Manager | Payé | 4.3 | 11 005 | 1 million | - |
| VPN Rocket | Gratuit | 4.2 | 11 625 | 500 mille | + |
| Globus VPN | Gratuit | 4.3 | 14,273 | 500 mille | - |
| VPN Spotflux | Gratuit | 4,0 | 14 095 | 500 mille | - |
| Cyberghost | Gratuit | 4,0 | 13 689 | 500 mille | + |
Compte tenu non seulement des clients populaires, mais aussi des clients moins populaires, la plupart des antivirus ont trouvé le code malveillant dans les programmes suivants: OkVpn (24 antivirus avec un résultat positif), EasyVpn (22), SuperVPN (13), Betternet (13), CrossVpn (11 ), Archie VPN (10), HatVPN (10), sFly Network Booster (10), One Click VPN (6), Fast Secure Payment (5).L'analyse statique des fonctionnalités et l'analyse active du trafic ont révélé plusieurs faits inquiétants. Il s'est avéré que 18% des clients VPN ne chiffrent pas du tout le trafic utilisateur. 38% des clients injectent des logiciels malveillants ou des publicités malveillantes dans le trafic dans le but spécifique d'accéder aux informations des utilisateurs. Il est ironique que les gens installent de tels programmes afin de protéger leurs informations contre tout accès non autorisé, de protéger leur anonymat et de maintenir la confidentialité - mais en pratique, ils obtiennent le contraire. Ces clients VPN malveillants sont installés sur des ordinateurs de dizaines de millions d'utilisateurs.Les chercheurs ont constaté que 80% des applications demandent l'accès à une variété d'informations confidentielles, y compris les comptes d'utilisateurs et les messages texte. Les deux tiers des clients VPN sont livrés avec des bibliothèques de suivi tierces. C'est beaucoup plus que dans les applications normales.
Distribution de bibliothèques de suivi tierces dans les clients VPN gratuits et payants, ainsi que dans toutes les applications du catalogue Google Play (à titre de comparaison)Bien que la plupart de ces applications permettent le travail anonyme sur Internet (dans un sens), en réalité, elles collectent une grande quantité données personnelles sur les utilisateurs, qui peuvent ensuite être vendues à des tiers.Selon une analyse des avis sur Google Play, seulement 1% des utilisateurs ont exprimé des inquiétudes concernant la confidentialité ou la sécurité en relation avec les clients VPN sur leur smartphone Android.Avant sa publication (pdf), il a été envoyé aux développeurs de clients VPN et à d'autres spécialistes de la sécurité. En conséquence, certains développeurs ont corrigé des failles de sécurité dans leurs programmes, tandis que d'autres les ont supprimés du répertoire Google Play. «Faites toujours attention aux autorisations des applications que vous téléchargez», expliqueProfesseur Dali Kaafar, chercheur en chef du CSIRO pour la confidentialité et la sécurité en ligne. «L'étude a montré que les utilisateurs de clients VPN devraient examiner la gravité des problèmes avec ces applications et les risques auxquels ils sont confrontés lorsqu'ils utilisent ces services.»Source: https://habr.com/ru/post/fr400961/
All Articles