В ходе исследования, проведенного Zimperium zLabs, были изучены 800 бесплатных VPN-приложений для платформ Android и iOS. Результаты показали, что многие из этих приложений представляют собой угрозу для конфиденциальности и безопасности пользователей. Вместо предоставления прозрачной защиты конфиденциальности, приложения требуют чрезмерные разрешения, утечкают личные данные и основываются на устаревших библиотеках с известными уязвимостями.
Основные открытия Zimperium zLabs
Одним из ключевых открытий стало продолжение использования устаревших библиотек с известными недостатками. В частности, три приложения все еще используют версии, уязвимые для ошибки Heartbleed (CVE-2014-0160). Примерно 1% проанализированных приложений подвержены атакам типа "Человек посередине" из-за неправильной проверки сертификатов, что позволяет злоумышленникам перехватывать и расшифровывать трафик.
На устройство iOS проблема усугубляется тем, что 25% приложений не содержат действительных манифестов конфиденциальности или предоставляют вводящую в заблуждение информацию о сборе данных, что нарушает требования Apple к раскрытию данных. В Android и iOS приложения запрашивают разрешения, выходящие за рамки функциональности VPN, такие как AUTHENTICATE_ACCOUNTS и READ_LOGS на Android, а также частные права, постоянное отслеживание местоположения (LOCATION_ALWAYS) и обнаружение локальной сети на iOS.
Риски для корпоративной среды
Эти вопросы представляют серьезные риски для организаций, использующих политику BYOD. Подверженные атакам VPN-приложения могут способствовать краже учетных данных, перемещению по сети и повышению привилегий через небезопасные экспортированные компоненты. Zimperium рекомендует проведение всесторонней проверки мобильных приложений, включая статический и динамический анализ, чтобы выявить чрезмерные разрешения, утечки конфиденциальности и незащищенные реализации перед их использованием.
Используя результаты этого исследования, компании могут лучше защитить свои данные и улучшить мобильную безопасность, внедряя строгую оценку приложений для выявления потенциальных угроз.
