آموزش و مقالات شبکه، وب، سرور و اینترنت

آموزش‌های کلادفلر به‌زودی در این بخش قرار داده می‌شود.

مطالعه جدید از Open Technology Fund؛ بیشتر شرکت‌های VPN صوری هستند

نوشته شده توسط

گیک شبکه

در

شاید فکر کنی وقتی دکمه اتصال VPN رو میزنی، دیگه توی دنیای اینترنت نامرئی شدی و جات امنه. خیلی‌ها همین فکر رو میکنن، مخصوصا کسایی که توی کشورهایی زندگی میکنن که دولت‌ها روی اینترنت کنترل شدیدی دارن. اما یه مطالعه جدید نشون میده که این حس امنیت، گاهی وقتا میتونه یه خیال باطل باشه و استفاده از بعضی VPN‌ها نه تنها امن نیست، بلکه میتونه خطرهای بزرگی هم داشته باشه.

وقتی توی یه کشور با حکومت autoritarian زندگی میکنی، دسترسی به اطلاعات آزاد و بدون سانسور کار راحتی نیست. رسانه‌های مخالف معمولا فیلتر میشن و خیلی از سایت‌های خارجی هم از دسترس خارج میشن. اینجاست که VPN‌ها یا همون شبکه‌های خصوصی مجازی، برای صدها میلیون نفر تبدیل به یه راه حل میشن. کار VPN اینه که آدرس اینترنتی یا همون IP شما رو مخفی میکنه و اطلاعاتتون رو رمزنگاری میکنه. اینطوری میتونی به سایت‌های فیلتر شده سر بزنی و از حق خودت برای دسترسی به اطلاعات آزاد استفاده کنی.

به خاطر همین کاربرد، استفاده از VPN توی کشورهایی مثل چین، روسیه، بلاروس، ایران و کره شمالی یا غیرقانونیه یا به شدت محدود شده. کسایی که توی این کشورها از VPN استفاده میکنن، این کار رو مخفیانه انجام میدن و انتظار دارن شرکتی که ازش VPN خریدن هم هوای اونها رو داشته باشه و اطلاعاتشون رو پیش خودش نگه داره.

اما یه تحقیق جامع که توسط «صندوق فناوری باز» یا Open Technology Fund (یه سازمان غیرانتفاعی مستقل برای ترویج آزادی اینترنت در جهان) انجام شده، یه سری مشکلات نگران‌کننده رو توی بعضی از شرکت‌های ارائه دهنده VPN پیدا کرده. این مشکلات در بدترین حالت میتونن حتی باعث زندانی شدن کاربرها بشن.

پشت پرده شرکت‌های VPN چه خبره؟

اولین مشکل، ساختار مالکیت پیچیده و غیرشفاف این شرکت‌هاست. توی این گزارش تحقیقی اومده: «خیلی از سرویس‌های VPN، مالکیت اصلی خودشون رو پشت یه سری ساختارهای شرکتی پیچیده قایم میکنن». یعنی چی؟ یعنی در عمل مشخص نیست که واقعا کی داره این شرکت‌ها رو کنترل میکنه.

برای مثال، شرکت‌هایی مثل Innovative Connecting PTE، Autumn Breeze PTE و Lemon Clove PTE ادعا میکنن که توی سنگاپور ثبت شدن. اما محقق‌ها فهمیدن که در واقعیت، این شرکت‌ها توسط افرادی از داخل خود چین کنترل میشن و به همین خاطر، تحت قوانین کنترل اطلاعات چین قرار میگیرن. گزارش میگه: «خیلی از VPN‌ها میان شرکت‌های صوری توی کشورهایی ثبت میکنن که قوانین سفت و سختی برای نگهداری اطلاعات ندارن».

مشکل بعدی اینه که خیلی از سرویس‌های مختلف VPN، در واقع توسط یه شرکت واحد ساخته شدن. گزارش هشدار میده: «یه تعداد کمی از شرکت‌ها، با استفاده از راهکارهای «white-label»، بخش بزرگی از بازار VPN رو کنترل میکنن». راهکار White-label یعنی یه محصول توسط یه شرکت سوم ساخته میشه و بعد یه شرکت دیگه اون رو با برند و اسم خودش میفروشه.

این مطالعه تونسته هشت تا شرکت ارائه دهنده VPN رو شناسایی کنه که ۱۶ تا اپلیکیشن مختلف VPN دارن و در مجموع بیشتر از ۷۰۰ میلیون بار از گوگل پلی استور دانلود شدن. این شرکت‌ها ارتباطشون با همدیگه رو پنهان میکنن و همین موضوع به شدت مشکل‌سازه. نویسنده‌های این مطالعه میگن: «اپلیکیشن‌هایی که این شرکت‌ها پخش میکنن، مشکلات حریم خصوصی و امنیتی دارن که کاربرها رو در معرض خطر جاسوسی و نظارت قرار میده».

میلیون‌ها کاربر در خطر

اپلیکیشن‌هایی مثل Turbo VPN، VPN Proxy Master، XY VPN و 3X VPN – Smooth Browsing هر کدوم صد میلیون بار از گوگل پلی دانلود شدن و توی این گزارش به عنوان اپ‌های «به شدت نگران‌کننده» معرفی شدن. این یعنی صدها میلیون کاربر اینترنت فکر میکنن در سطح امنیتی بالایی قرار دارن، در حالی که همچین امنیتی در واقع وجود نداره.

این گزارش توضیح میده: «هر دو گروه از این شرکت‌ها از پروتکل تونل‌زنی Shadowsocks برای ساختن تونل VPN استفاده میکنن و ادعا میکنن که اتصال کاربرهاشون امنه». اما نکته اینجاست که پروتکل شادوساکس برای محرمانه نگه داشتن اطلاعات طراحی نشده.

علاوه بر این، طبق گزارش «چه کسی VPN شما را مالکیت، مدیریت و توسعه میدهد»، هر دو گروه از این شرکت‌ها از پروتکل شادوساکس با پسوردهای از پیش نوشته شده (hard-coded) که توی خود اپ ذخیره شده استفاده میکنن. این یه ضعف امنیتی خیلی جدیه. هکرها میتونن این پسوردها رو بخونن و در نتیجه تمام ارتباطات کاربرها رو رمزگشایی کنن و بخونن.

خیلی از این شرکت‌ها سرورهای خودشون رو از مراکز داده اجاره میکنن، بدون اینکه کنترل کاملی روی سخت‌افزار اون سرورها داشته باشن. بعضی از اپ‌های VPN هم مخفیانه اطلاعات مکانی کاربرها رو جمع میکنن، حتی با اینکه توی سیاست‌های حریم خصوصی‌شون نوشتن که این کار رو نمیکنن.

کدوم اپ‌های VPN مشکل دارن؟

این مطالعه هشدار میده که VPN‌ها در بهترین حالت میتونن یه حس امنیت دروغین به کاربر بدن و در بدترین حالت، حریم خصوصی و امنیت کاربر رو به طور کامل به خطر بندازن. این گزارش به طور مشخص به شرکت‌های Innovative Connecting، Autumn Breeze، Lemon Clove، Matrix Mobile، ForeRaya Technologies، Wildlook Tech، Hong Kong Silence Technology و Yolo Mobile Technology Limited اشاره میکنه و میگه: «هر کاربری که از اپلیکیشن‌های این شرکت‌ها استفاده میکنه، خودش رو در معرض خطر بزرگی قرار میده، چون این اپلیکیشن‌ها مشکلات جدی حریم خصوصی و امنیتی دارن».

در عوض، نویسنده‌های گزارش پیشنهاد میکنن که از VPN‌های پولی استفاده بشه که به طور کلی قابل اعتمادتر و امن‌تر هستن. برای مثال، توی VPN‌هایی مثل Lantern، Psiphon، ProtonVPN یا Mullvad هیچ مشکل جدی امنیتی یا حریم خصوصی پیدا نشده.

فاجعه‌ای برای امنیت کاربر

بنجامین میکسون-باکا، یکی از نویسنده‌های این مطالعه، میگه: «این وضعیت برای حریم خصوصی و امنیت کاربرها فاجعه‌باره. حتی بدون در نظر گرفتن کشور محل زندگی کاربر، ضعف‌هایی که ما پیدا کردیم نشون میده این VPN‌ها هیچ نوع حریم خصوصی یا امنیتی رو فراهم نمیکنن، که این دقیقا برخلاف ادعاهاییه که این شرکت‌ها توی وب‌سایت‌هاشون میکنن».

اون هشدار میده: «کاربرها یه حس امنیت دروغین دارن، چون یه هکر دولتی میتونه تمام کارهایی که کاربرهای این محصولات انجام میدن رو ببینه». میکسون-باکا همچنین اشاره میکنه که این «یه نقض جدی اعتماد کاربره»، مخصوصا با توجه به اینکه بعضی از این شرکت‌ها چقدر تلاش کردن تا هویت واقعی خودشون رو پنهان کنن و برخلاف ادعاهاشون، اطلاعات جغرافیایی کاربرها رو جمع‌آوری کردن.

درخواست از مدیران اپ استورها

میکسون-باکا میگه: «کاربرها باید به شرکت‌های VPN اولویت بدن که درباره مالکیت، زیرساخت و حوزه قضایی خودشون شفافیت کامل دارن». راهکارهای متن‌باز (Open-source) و حسابرسی‌های مستقل، شاخص‌های کلیدی کیفیت هستن.

نویسنده‌های این گزارش همچنین به شدت به مدیران اپ استورها مثل گوگل پلی توصیه میکنن که توی فرآیند انتخاب و تایید اپلیکیشن‌ها، توجه بیشتری به نقص‌های امنیتی داشته باشن. در غیر این صورت، آیکون VPN که توی گوگل پلی در دسترسه، به کاربرها حس امنیت اشتباهی میده.

آخرین راه حل: مرورگر Tor

برای میکسون-باکا، یه تضاد اساسی در مورد راهکارهای VPN همچنان حل نشده باقی مونده. اون میگه: «حریم خصوصی و امنیت، یعنی همون چیزی که مردم از این محصولات انتظار دارن، مستقیما با تبلیغات و پول درآوردن در تضاده. چیزی که ما و دیگران کشف کردیم اینه که وقتی حریم خصوصی رو با تبلیغات برای پول درآوردن قاطی میکنی، آخر و عاقبت خوبی نداره».

به نظر اون، یه راهکار VPN که با بودجه عمومی ساخته بشه، مثل پیام‌رسان سیگنال، میتونه عالی باشه، اما این هم محدودیت‌های اساسی حفاظت از داده و امنیت رو حل نمیکنه. در نهایت، اون نتیجه میگیره که هر کسی واقعا میخواد خیالش راحت باشه، باید از مرورگر Tor استفاده کنه.

«Tor هم مثل هر چیز دیگه‌ای محدودیت‌های خودشو داره، اما اگه حریم خصوصی اولویت اصلی شماست، Tor پادشاه این میدونه».

گزارش شفافیت VPN سال ۲۰۲۵: چه کسی صاحب VPN شماست؟

شبکه‌های خصوصی مجازی یا VPNها، یه زیرساخت امنیتی و حریم خصوصی حیاتی هستن که مردم در سراسر دنیا برای دور زدن فیلترینگ جغرافیایی، محافظت از اتصالشون روی وای‌فای عمومی و پنهان کردن اطلاعاتشون از دست شرکت‌های ارائه دهنده اینترنت (ISP) استفاده میکنن. محبوبیت VPN‌ها به شدت زیاد شده، مخصوصا توی کشورهایی با دولت‌های سرکوبگر که دسترسی به وب‌سایت‌ها و اپلیکیشن‌ها رو مسدود میکنن.

شرکت‌های تجاری VPN با درجات مختلفی از شفافیت کار میکنن و کاربرها باید تصمیم بگیرن که موقع انتخاب شرکت، شفافیت براشون مهمتره یا ناشناس بودن، چون هر کدوم مزایا و معایب خودشون رو دارن.

  • مزیت یه شرکت شفاف: کاربر میدونه کی میتونه ارتباطاتش رو ببینه.
  • عیب یه شرکت شفاف: این شرکت‌ها به راحتی توسط مقامات شناسایی میشن و میتونن احضاریه بگیرن یا هدف حمله هکرها قرار بگیرن که این میتونه کاربر رو به خطر بندازه.
  • مزیت یه شرکت ناشناس: به راحتی نمیشه هدف هکرها یا احضاریه‌های قانونی قرارش داد که این خودش یه سطح از محافظت برای کاربره.
  • عیب یه شرکت ناشناس: کاربر نمیدونه کی داره ارتباطاتش رو میبینه که این میتونه خطر جاسوسی یا سوءاستفاده رو بیشتر کنه.

اطلاعات کلیدی در مورد شرکت‌های VPN که به کاربرها کمک میکنه تصمیم درستی بگیرن، معمولا یا در دسترس نیست یا پیدا کردنش سخته. برای پر کردن این شکاف، این پروژه شفافیت VPN با همکاری دکتر جفری ناکل و دکتر جدیدایا آر. کراندال، با استفاده از روش‌های جمع‌آوری و تحلیل اطلاعات منبع‌باز (OSINT) انجام شده تا مشخص بشه شرکت‌های مختلف VPN چقدر شفاف یا ناشناس عمل میکنن. بعد از اون با مهندسی معکوس ایستا و پویا، شیوه‌های امنیتی و حریم خصوصی اپلیکیشن‌های VPN اونها بررسی شده.

این گزارش یه امتیاز چندعاملی شفافیت در مقابل ناشناس بودن رو برای ۳۲ اپلیکیشن VPN با مجموع نزدیک به یک میلیارد دانلود ارائه میده که توسط ۲۱ شرکت «به ظاهر مجزا» منتشر شدن. این سیستم امتیازدهی شبیه سیستم امتیازدهی CVSS برای آسیب‌پذیری‌های نرم‌افزاریه. نتایج این گزارش برای کمک به کاربرهاست تا موقع انتخاب VPN تصمیم آگاهانه‌تری بگیرن.

از بین ۳۲ اپلیکیشن و ۲۱ شرکت، دو خوشه از شرکت‌های VPN (یکی شامل سه شرکت و دیگری شامل پنج شرکت) شناسایی شدن که به نظر میرسه درون خوشه‌های خودشون به هم مرتبط هستن. اونها از تکنیک‌های پنهان‌کاری استفاده میکنن تا مشخص نشه واقعا کی صاحب و گرداننده این سرویس‌هاست. اپلیکیشن‌های این شرکت‌ها هم مشکلات امنیتی و حریم خصوصی دارن که کاربرها رو در معرض خطر جاسوسی قرار میده.

این هشت شرکت در مجموع ۱۶ اپلیکیشن VPN رو در گوگل پلی استور منتشر کردن که مجموعا بیش از ۷۰۰ میلیون دانلود دارن. هیچ‌کدوم از این خوشه‌ها اعلام نمیکنن که با هم در ارتباط هستن یا با هم کار میکنن. هر دو گروه از پروتکل تونل‌زنی Shadowsocks استفاده میکنن (که برای محرمانگی طراحی نشده) و ادعا میکنن اتصال کاربرهاشون امنه. موضوع نگران‌کننده اینه که هر دو گروه، اپلیکیشن‌هاشون رو با پسورد hard-coded که توی خود اپ جاسازی شده، منتشر میکنن. از اونجایی که شادوساکس از رمزنگاری متقارن استفاده میکنه، این یعنی یه هکر شبکه‌ای میتونه تمام ارتباطات بین کلاینت VPN و سرور VPN رو رمزگشایی کنه و ترافیک بیش از ۷۰۰ میلیون کاربر رو در معرض خطر قرار بده.

لیست شرکت‌ها و اپ‌های VPN به شدت نگران‌کننده از نظر شفافیت و امنیت

  • شرکت INNOVATIVE CONNECTING LIMITED:
    • Turbo VPN (۱۰۰ میلیون دانلود)
    • Turbo VPN Lite (۵۰ میلیون دانلود)
    • VPN Monster (۱۰ میلیون دانلود)
  • شرکت LEMON CLOVE PTE. LIMITED:
    • VPN Proxy Master (۱۰۰ میلیون دانلود)
    • VPN Proxy Master – Lite (۱۰ میلیون دانلود)
  • شرکت AUTUMN BREEZE PTE. LIMITED:
    • Snap VPN (۵۰ میلیون دانلود)
    • Robot VPN (۱۰ میلیون دانلود)
    • SuperNet VPN (۱ میلیون دانلود)
  • شرکت MATRIX MOBILE PTE. LTD.:
    • XY VPN (۱۰۰ میلیون دانلود)
    • Global VPN (۱۰ میلیون دانلود)
  • شرکت ForeRaya Technologies PTE LTD:
    • Super Z VPN (۱۰ میلیون دانلود)
  • شرکت Hong Kong Silence Technology:
    • Touch VPN – Stable & Secure (۵۰ میلیون دانلود)
  • شرکت Yolo Technology Limited:
    • 3X VPN – Smooth Browsing (۱۰۰ میلیون دانلود)
    • VPN ProMaster – Secure your net (۵۰ میلیون دانلود)
  • شرکت Wildlook Tech Pte Ltd:
    • Melon VPN – Secure Proxy VPN (۵۰ میلیون دانلود)
    • VPN Inf (۱۰ میلیون دانلود)

چرا شفافیت موقع انتخاب VPN مهمه؟

وقتی از VPN استفاده میکنی، در واقع داری به شرکت VPN اعتماد میکنی. در حالی که VPN‌ها با مخفی کردن IP واقعی کاربر، یه لایه امنیتی اضافه میکنن، اما محدودیت‌های خودشون رو هم دارن. این محدودیت‌ها به راحتی قابل حل نیستن چون به طراحی خود VPN برمیگردن.

وقتی VPN رو روشن میکنی چه اتفاقی میفته؟

VPN‌ها سیستمی هستن که آدرس IP کسی که بهشون وصل میشه رو عوض میکنن. یه نوع VPN برای دسترسی به منابع داخلی شرکت‌ها و دانشگاه‌ها استفاده میشه. نوع دیگه‌ای که توی این گزارش بررسی شده، همون VPN‌هاییه که مردم برای محافظت از اطلاعاتشون روی وای‌فای عمومی، دیدن نتفلیکس کشورهای دیگه یا دسترسی به سایت‌های خبری و شبکه‌های اجتماعی فیلتر شده استفاده میکنن. همه این VPN‌ها یه کار مشترک انجام میدن: اطلاعات شما رو رمزنگاری میکنن و اول به یه سرور پروکسی (سرور VPN) میفرستن. اون سرور اطلاعات شما رو رمزگشایی میکنه، IP شما رو عوض میکنه و بعد اطلاعاتتون رو به سروری که میخواستید بهش وصل بشید میفرسته.

چون شما اطلاعاتتون رو اول به VPN میفرستید، اون VPN میتونه ببینه شما با کی دارید ارتباط برقرار میکنید. حتی اگه اون سایت از پروتکل امنیتی TLS استفاده نکنه، VPN میتونه محتوای مکالمه شما رو هم ببینه. یه قانون کلی هست که میگه سرویس‌های رایگان واقعا رایگان نیستن؛ وقتی ازشون استفاده میکنی، خودت تبدیل به محصول میشی. این در مورد VPN‌ها هم صدق میکنه.

به کی داری اعتماد میکنی؟

وقتی یه شرکت VPN انتخاب میکنی، در واقع داری اعتمادی که به شرکت اینترنتت (ISP) داشتی رو به شرکت VPN منتقل میکنی. این انتقال اعتماد، با توجه به دسترسی که اونها به اطلاعاتت دارن، پیامدهای امنیتی مهمی داره. خیلی از اپ‌های موبایل از TLS استفاده نمیکنن که این موضوع میتونه به جاسوسی و سوءاستفاده منجر بشه. دونستن اینکه کی سرویس VPN رو اداره میکنه، به کاربر کمک میکنه بهتر بفهمه کی به اطلاعاتش دسترسی داره و اطلاعاتش تحت قوانین کدوم کشور قرار میگیره.

شرکت‌های VPN که شفاف عمل میکنن، به راحتی قابل شناسایی هستن و نهادهای قانونی میتونن بهشون احضاریه بفرستن. هکرها و سانسورچی‌ها هم میتونن اونها رو هدف قرار بدن. اما مزیت اصلی یه شرکت ناشناس اینه که به سختی شناسایی میشه و نمیشه به راحتی هدف قرارش داد. این موضوع بسته به قوانین کشوری که کاربر توش زندگی میکنه و کشوری که سرور VPN توش قرار داره، میتونه برای کاربر مفید باشه. اما عیب اصلی استفاده از یه شرکت ناشناس اینه که کاربر داره به یه غریبه کامل اعتماد میکنه که میتونه از دسترسی به اطلاعات کاربر برای اهداف مختلفی استفاده کنه.

معمولا میتونی با مراجعه به صفحه توسعه‌دهنده توی گوگل پلی یا اپ استور، بفهمی صاحب VPN کیه. اما متاسفانه به خاطر حجم بالای اپ‌هایی که منتشر میشن، این فروشگاه‌ها نمیتونن (یا نمیخوان) هویت هر توسعه‌دهنده رو به طور کامل بررسی کنن.

بعضی از شرکت‌های VPN از این عدم تایید هویت و توانایی ثبت شرکت‌های صوری به نفع خودشون استفاده میکنن و سعی میکنن مخفی کنن که واقعا کی خدماتشون رو کنترل میکنه. برای مثال، اخیرا مشخص شد که اپ‌های VPN شرکت‌های INNOVATIVE CONNECTING LIMITED، AUTUMN BREEZE PTE. LIMITED و LEMON CLOVE PTE. LIMITED به شرکت چینی Qihoo 360 مرتبطن، که یه شرکت امنیت سایبری چینه. چین قوانین حریم خصوصی به شدت سختگیرانه‌ای (به نفع دولت) داره، اما یه کاربر ممکنه با دیدن اسم سنگاپور توی اپ استور، فکر کنه که این شرکت‌ها تحت قوانین قوی حریم خصوصی سنگاپور فعالیت میکنن. در نگاه اول، این سه شرکت توسعه‌دهنده‌های مجزایی به نظر میرسن، اما با بررسی دقیق‌تر مواردی مثل سیاست‌های حریم خصوصی و کد باینری اپلیکیشن، استقلال اونها زیر سوال میره.

پس یه نفر قبل از انتخاب VPN باید به چند تا نکته فکر کنه:

  • برای چی از VPN استفاده میکنه؟ برای محافظت از تراکنش‌های مالی روی وای‌فای ناامن؟ برای دور زدن فیلترینگ جغرافیایی سرویس‌های استریم؟ یا برای دیدن اخبار و وب‌سایت‌های فیلتر شده در کشورش؟
  • در حالت اول، احتمالا یه شرکت VPN شفاف بهتره. در حالت دوم، شاید بهتر باشه از شرکتی استفاده کنه که به راحتی قابل شناسایی نیست و مقامات نمیتونن به سادگی بهش احضاریه بدن.
  • همچنین باید در نظر بگیره که شرکت تحت قوانین کدوم کشوره، آیا شرکت اعلام میکنه کی صاحب VPN و زیرساختشه (شامل سرورهای سراسر دنیا)، و آیا اعلام میکنه کی اپلیکیشن رو توسعه داده.

نبود اطلاعات منظم و در دسترس در مورد شفافیت در مقابل ناشناس بودن در اکوسیستم VPN، باعث میشه کاربرها شرکت‌هایی رو انتخاب کنن که ممکنه برای کاربری مورد نظرشون مناسب نباشن. این تحقیق انجام شده تا با مشخص کردن اینکه چه کسی صاحب، گرداننده و توسعه‌دهنده بعضی از محبوب‌ترین اپ‌های VPN در گوگل پلی استوره، به کاربرها کمک کنه تصمیمات آگاهانه‌تری بگیرن.

سیستم امتیازدهی شفافیت (CTSS)

برای این گزارش، «شفافیت» یعنی شرکت VPN هیچ کاری برای پنهان کردن هویت خودش انجام نمیده. بزرگترین خطری که یه کاربر باهاش مواجهه، اینه که ناخواسته اطلاعاتش رو به یه شرکت VPN ناشناس بده که فکر میکرده شفافه، یا از یه اپلیکیشن ناامن استفاده کنه که حریم خصوصیش رو به خطر میندازه. ما یه شرکت رو «ناشناس» در نظر میگیریم وقتی که حوزه قضایی واقعیش با چیزی که یه فرد منطقی از بررسی سطحی پروفایل اپ استور و وب‌سایت شرکت نتیجه میگیره، فرق داشته باشه. برای مثال، این مطالعه کشف کرد که شرکت‌های VPN وجود دارن که ادعا میکنن حوزه قضایی‌شون سنگاپوره، در حالی که در واقعیت چین هستن. این یه نقض اعتماد بزرگه، چون قوانین حفاظت از داده در سنگاپور با چین خیلی متفاوته.

برای بررسی دقیق شفافیت شرکت‌های VPN، اطلاعات بر اساس پنج عامل ترکیبی جمع‌آوری شده:

  1. شفافیت عملیات تجاری
  2. شفافیت کد
  3. شفافیت شبکه‌های اجتماعی
  4. شفافیت شبکه/دامنه
  5. تحلیل دستی

تحلیل دستی کد باینری برای اپلیکیشن‌های VPN که امتیاز شفافیت خیلی بالا یا خیلی پایینی بر اساس چهار عامل اول داشتن، انجام شده. این سیستم امتیازدهی از روی سیستم امتیازدهی آسیب‌پذیری رایج (CVSS) الگوبرداری شده. در ادامه هر کدوم از این پنج عامل توضیح داده میشن.

۱. شفافیت عملیات تجاری

این عامل امتیازدهی، اطلاعات موجود در مورد مالک، توسعه‌دهنده و گرداننده یه اپلیکیشن VPN رو ترکیب میکنه. برای به دست آوردن این اطلاعات، از وب‌سایت، شرایط خدمات و سیاست حریم خصوصی که در گوگل پلی استور لیست شده، شروع شده. بعد اطلاعات دیگه‌ای مثل حساب‌های شبکه‌های اجتماعی و اطلاعات مربوط به سازمان گرداننده و تیم‌های توسعه و مدیریت، به این بخش اضافه شده.

چرا مهمه؟ کشوری که VPN در اون فعالیت میکنه، نقش مهمی در توانایی VPN برای ارائه یه سرویس امن داره. چون سیاست‌های خاصی در هر کشور وجود داره که گرداننده VPN باید ازشون پیروی کنه. این سیاست‌ها میتونن شامل الزام به ثبت اطلاعات کاربر، همکاری با پلیس اون کشور و همکاری با سازمان‌های پلیسی خارجی مثل اینترپل باشن. یه شرکت VPN مستقر در آمریکا، سوئیس یا جزایر ویرجین آمریکا، در مقایسه با روسیه یا چین، طبق قانون باید از سیاست‌های خیلی متفاوتی برای نگهداری و افشای داده‌ها پیروی کنه.

وقتی یه شرکت VPN اطلاعات مربوط به حوزه قضایی خودش رو در گوگل پلی استور یا وب‌سایتش اعلام میکنه، کاربر ممکنه فکر کنه میدونه اطلاعاتش تحت قوانین کدوم کشور قرار میگیره و میتونه ریسک رو ارزیابی کنه. اما گاهی این اطلاعات پنهان‌کاری میشن، طوری که یه شرکت VPN که ادعا میکنه در سنگاپور مستقره، در واقع دفتر مرکزیش در پکن باشه. این پنهان‌کاری باعث میشه که نهادهای قانونی یا هکرها نتونن به راحتی اون شرکت خاص رو هدف قرار بدن، اما از طرفی هم کاربر نمیدونه اطلاعاتش تحت قوانین کدوم کشوره و آیا میتونه انتظار داشته باشه اطلاعاتش ثبت بشه یا شرکت با پلیس همکاری کنه.

زیرمجموعه‌های این عامل:

  • آیا VPN وب‌سایت معتبری داره؟
  • آیا VPN سیاست حریم خصوصی داره؟
  • آیا بخش‌هایی از متن سیاست حریم خصوصی با VPN‌های دیگه مشترکه؟
  • آیا VPN بخش «درباره ما» داره؟
  • آیا پرونده‌های تجاری اضافی مثل سوابق مالیاتی یا کپی‌رایت وجود داره؟
  • آیا حوزه قضایی اعلام شده در وب‌سایت، اپ استور و پرونده‌های تجاری با هم مطابقت دارن؟

۲. شفافیت کد

این عامل، اطلاعات مربوط به شیوه‌های کدنویسی و ردپای شرکت VPN رو خلاصه میکنه. این میتونه اطلاعات تکمیلی در مورد شیوه‌های شفافیت در مقابل ناشناس بودن شرکت VPN بده، مثلا اینکه آیا کد اونها متن‌بازه و روی چه مخزن‌هایی (repositories) ذخیره شده.

چرا مهمه؟ در نهایت این کده که رفتار یه اپلیکیشن VPN رو تعیین میکنه. برای مثال، کد ممکنه شناسه‌های مختلفی از کاربر رو جمع‌آوری کنه، مثل شناسه دستگاه، اطلاعات مکانی و سایر شناسه‌های سخت‌افزاری و نرم‌افزاری. یه راه برای فهمیدن اینکه یه شرکت VPN روی شفافیت تمرکز داره یا ناشناس بودن، اینه که آیا کدش متن‌بازه یا به طور گسترده در دسترسه. کد متن‌باز استاندارد طلایی برای شفافیته. این به این معنی نیست که اپلیکیشنی که روی دستگاه اجرا میشه لزوما از همون کدی که متن‌باز شده، ساخته شده، اما حداقل نشون میده که شرکت VPN تلاش کرده جزئیات نحوه مدیریت اطلاعات کاربرها رو در دسترس قرار بده.

زیرمجموعه‌های این عامل:

  • آیا اپلیکیشن متن‌بازه؟
  • آیا شرکت در GitHub پروفایل داره؟
  • آیا شرکت در GitLab پروفایل داره؟
  • آیا شرکت در Gitee پروفایل داره؟
  • آیا کد از طریق دیگه‌ای مثل وب‌سایت شرکت در دسترسه؟

۳. شفافیت شبکه‌های اجتماعی

این عامل، ردپای شرکت‌های VPN در شبکه‌های اجتماعی آنلاین رو مشخص میکنه. این اطلاعات از لینک‌های شبکه‌های اجتماعی که یا در وب‌سایت اپلیکیشن موجوده، یا با استفاده از API‌های شبکه‌های اجتماعی برای جستجوی حساب‌های مرتبط، جمع‌آوری میشه.

چرا مهمه؟ شفافیت در شبکه‌های اجتماعی میتونه نشون بده که شرکت‌های VPN چقدر با مردم در ارتباط هستن. یه شرکت VPN ممکنه در مورد به‌روزرسانی‌های محصولش اطلاعیه بده، پشتیبانی مستقیم ارائه بده یا در مورد مسائل مربوط به حریم خصوصی بحث کنه. علاوه بر این، شرکت‌های VPN ممکن از سرویس‌های تبلیغاتی مختلف، مثل تبلیغات فیسبوک، برای جذب گروه‌های مختلف کاربر استفاده کنن.

زیرمجموعه‌های این عامل:

  • آیا VPN اطلاعات تماس عمومی داره؟
  • آیا VPN صفحه فیسبوک داره؟
  • آیا VPN پروفایل اینستاگرام داره؟
  • آیا VPN پروفایل X (توییتر سابق) داره؟
  • آیا VPN حساب تلگرام داره؟
  • آیا VPN کانال دیسکورد داره؟
  • آیا ادعاها یا شکایت‌های مشکوکی از طرف کاربرها در مورد شرکت VPN در یه پلتفرم وجود داره؟
  • آیا VPN از تبلیغات برای هدف‌گیری مشکوک استفاده میکنه؟ (مثلا هدف قرار دادن کودکان)

۴. شفافیت شبکه/دامنه

اطلاعات این عامل از اطلاعات دامنه‌ای که با استفاده از رکوردهای WHOIS و ابزار dig جمع‌آوری شده، به دست میاد. اطلاعات در مورد شرکت کنترل‌کننده VPN ممکنه در فیلد «Registrant Org» موجود باشه. نام مدیران، ایمیل‌ها، شماره تلفن‌ها و آدرس‌ها هم ممکنه در این رکوردها وجود داشته باشه که میتونه برای پروفایل‌سازی بیشتر استفاده بشه.

چرا مهمه؟ این عامل انتخاب شده چون یه شرکت VPN میتونه اطلاعاتش رو برای تحلیل عمومی در دسترس قرار بده. اما غیرمعمول نیست که شرکت‌ها، آگاهانه یا ناآگاهانه، موقع ثبت نام دامنه‌شون از سرویس‌های حریم خصوصی استفاده کنن. این سرویس‌ها به عنوان یه واسطه بین شرکت VPN واقعی و ثبت‌کننده دامنه عمل میکنن. دلایل معتبری برای این کار وجود داره، مثلا اگه شرکت معتبر باشه اما در محیطی فعالیت کنه که با ابزارهای افزایش حریم خصوصی مثل VPN‌ها دشمنی دارن. در مورد حداقل سه شرکت VPN – Innovative Connecting، Lemon Clove و Autumn Breeze – یه آدرس ایمیل مشترک در رکوردهای DNS SOA پیدا شده که نشون میده صاحبشون یکیه.

۵. تحلیل دستی

تحلیل دستی فرآیندیه که در اون یه تحلیل‌گر انسانی سعی میکنه یه برنامه رو بفهمه. این نوع تحلیل موقع حسابرسی امنیتی اپلیکیشن‌ها استفاده میشه. هدف اغلب شناسایی ضعف‌های امنیتی یا تایید امن بودن یه اپلیکیشنه. اطلاعات این عامل از تحلیل‌های ایستا و پویا به دست اومده. تحلیل ایستا اطلاعاتی در مورد شیوه‌های جمع‌آوری داده، اینکه آیا کد یه اپلیکیشن VPN توسط چندین شرکت به اشتراک گذاشته شده، شناسه‌هایی مثل آدرس‌های ایمیل و کلیدهای API موجود در کد منبع و اطلاعات کاربری hard-coded ذخیره شده در اپلیکیشن میده. تحلیل پویا اطلاعاتی در مورد اینکه اپلیکیشن با چه سرورهایی صحبت میکنه، چه اطلاعاتی رو از سرورهای دیگه میفرسته یا دریافت میکنه، آیا شیوه‌های ارتباطیش امنه و به چه سرورهای VPN میتونه وصل بشه، میده.

چرا مهمه؟ بعضی اطلاعات در مورد شرکت VPN رو میشه از این تحلیل‌ها به دست آورد که از روش‌های جستجوی OSINT معمولی مشخص نمیشه. برای مثال، تنها راه برای تعیین اینکه آیا شرکت‌های مختلف VPN سرورهای مشترک دارن، اینه که سعی کنی بهشون وصل بشی. علاوه بر این، تنها راه برای تعیین اینکه آیا اپلیکیشن از رمزنگاری مناسب موقع ارتباط استفاده میکنه، تست پویاست. تحلیل دستی یه اپلیکیشن دانلود شده روی یه دستگاه، در واقع حقیقت محض در مورد شیوه‌های ارتباطی اپلیکیشن و امن بودن یا نبودنشه.

نتایج نگران‌کننده: دو گروه از VPN‌های خطرناک

از ۲۱ شرکت VPN که در این گزارش ارزیابی شدن، پنج تا شفاف تشخیص داده شدن. هشت تا به دلیل کمبود اطلاعات در مورد سازمان‌های گرداننده‌شون، غیرشفاف تشخیص داده شدن. و در نهایت، تایید شد که هشت شرکت، VPN‌های خودشون رو به روش‌هایی اداره میکنن که هم از نظر شفافیت و هم از نظر امنیت باید به شدت نگران‌کننده باشن.

این هشت شرکت VPN در دو خوشه بر اساس ارتباطشون با همدیگه گروه‌بندی شدن. هر دو خوشه در یک یا چند عامل امتیازدهی، شاخص‌های مشکوکی دارن.

خوشه اول: Innovative Connecting، Autumn Breeze و Lemon Clove

قبلا هم گزارش شده بود که Innovative Connecting PTE. Limited با چندین شرکت VPN دیگه از جمله Autumn Breeze و Lemon Clove در ارتباطه. این تحقیق هم این یافته‌ها رو تایید کرده. برای مثال سیاست حریم خصوصی اپلیکیشن Signal Secure – Robot VPN از شرکت Autumn Breeze به صراحت میگه که Innovative Connecting نماینده اونهاست.

با جستجوی اسم این شرکت‌ها در OpenCorporates، مشخص شد که پرونده‌های کپی‌رایت این VPN‌ها نشون میده که اونها در واقع توسط یه تبعه چینی کنترل میشن و در نتیجه تحت قوانین کنترل اطلاعات چین قرار دارن. این در حالیه که ادعا میکنن در سنگاپور هستن.

تحلیل فنی چه چیزی رو نشون داد؟

بعد از شناسایی این ویژگی‌های مشکوک، محقق‌ها هر اپلیکیشن رو روی یه دستگاه Google Pixel 7a دانلود کردن. در سطح کد، حداقل هشت VPN مرتبط با این سه شرکت شناسایی شد.

  1. استفاده از پروتکل‌های ناامن: هر کدوم از اپلیکیشن‌های این شرکت‌ها از پروتکل‌های IPsec و Shadowsocks پشتیبانی میکنن. وقتی این VPN‌ها از شادوساکس استفاده میکنن، فایل پیکربندی شامل چندین مشکل امنیتیه. اول اینکه، هر اپ فقط رمزهای جریانی (stream ciphers) ناامن و منسوخ شده رو موقع اتصال با شادوساکس ارائه میده. مشخص شد که این رمزهای جریانی به طور ناامن پیاده‌سازی شدن، طوری که یه هکر میتونه بسته‌های ارسالی توسط کاربرها رو رمزگشایی کنه. این موضوع تمام بیش از ۳۰۰ میلیون کاربر رو در معرض حمله قرار میده، چون تونل «امن» اونها دیگه امن نیست.
  2. پسورد مشترک و Hard-coded: دومین و نگران‌کننده‌ترین موضوع اینه که تمام بیش از ۳۰۰ میلیون کاربر از یه پسورد مشترک استفاده میکنن. این پسوردها به صورت hard-coded در خود اپلیکیشن‌ها ذخیره شدن. این یه مشکل بزرگه، چون هکری که پسورد رو بدونه، میتونه به راحتی رمزنگاری VPN رو باز کنه. این پسوردها با استفاده از ابزاری به نام Frida از داخل اپلیکیشن استخراج شدن. برای مثال پسورد 14FPrbezE3HDZzsMOr6 برای اتصال به سرور شادوساکس استفاده میشد.
  3. زیرساخت مشترک: با توجه به اینکه همه اپ‌ها از اطلاعات کاربری و متن سیاست حریم خصوصی یکسانی استفاده میکنن، این احتمال وجود داشت که زیرساخت مشترکی هم داشته باشن. برای تست این موضوع، آدرس‌های IP سرورهای VPN که این اپ‌ها ارائه میدادن جمع‌آوری شد. بعد با استفاده از اطلاعات کاربری شادوساکس، به هر کدوم از سرورهای VPN وصل شدن. تست تایید کرد که این شرکت‌ها واقعا زیرساخت مشترک دارن. این موضوع شواهد قانع‌کننده‌ای ارائه میده که این شرکت‌های VPN مستقیما به همدیگه مرتبطن.
  4. جمع‌آوری مخفیانه اطلاعات مکانی: در مورد اپ VPN Proxy Master، مشخص شد که از تکنیک certificate pinning استفاده نمیکنه. این باعث شد که محقق‌ها بتونن با استفاده از پروکسی MITM، سرویس‌ها و نقاط پایانی API که باهاشون ارتباط برقرار میکرد رو شناسایی کنن. به طور خاص، مشخص شد که این اپ به https://ip-api.com درخواست میفرسته. مقداری که برگردونده میشد، کد پستی مرتبط با آدرس IP عمومی کلاینت بود. این مقدار بعدا به یه نقطه پایانی Firebase آپلود میشد. همه اپ‌های این سه شرکت (Innovative Connecting، Autumn Breeze و Lemon Clove) همچنین کدی برای آنالیتیکس هواوی، شبیه به فایربیس، برای کسب درآمد دارن. این موضوع مخصوصا در مورد SnapVPN، SuperNetVPN، RobotVPN، VPNMonster و TurboVPN نگران‌کننده‌تره، چون فایل‌های AndroidManifest.xml اونها درخواست دسترسی به موقعیت مکانی نمیکنن. سیاست حریم خصوصی همه این اپ‌ها هم به صراحت میگه که اطلاعات جغرافیایی کاربرهاشون رو جمع‌آوری نمیکنن، اما در عمل همه اونها به این نقطه پایانی API دسترسی پیدا میکنن.

این خوشه از شرکت‌های VPN در مجموع بیش از ۳۰۰ میلیون دانلود فقط در گوگل پلی استور دارن. همه اونها ادعای ارائه حریم خصوصی و امنیت میکنن، اما این واقعیت که شادوساکس رو ارائه میدن برای کاربرها گمراه‌کننده‌ست چون شادوساکس برای محرمانگی طراحی نشده. اپ‌ها حاوی اطلاعات کاربری hard-coded شادوساکس هستن که استخراجشون راحته. یه هکر میتونه از این اطلاعات برای از بین بردن رمزنگاری بین کلاینت و سرور VPN برای این خانواده از شرکت‌ها استفاده کنه. علاوه بر این، همه اونها ادعا میکنن اطلاعات مکانی کاربر رو جمع‌آوری نمیکنن اما در واقع این کار رو میکنن و بیشتر کاربرها رو گمراه میکنن.

خوشه دوم: MATRIX MOBILE، ForeRaya Technologies، WILDLOOK TECH، Hong Kong Silence Technology و Yolo Mobile Technology

طبق پروفایل‌های گوگل پلی، Matrix Mobile و Wildlook Tech در سنگاپور فعالیت میکنن. در مقابل، ForeRaya Technologies، Hong Kong Silence Technology و Yolo Mobile Technology در هنگ‌کنگ فعالیت میکنن. این گروه از توسعه‌دهنده‌ها در مجموع هشت محصول VPN جداگانه رو اداره میکنن و بیش از ۴۰۰ میلیون دانلود در گوگل پلی استور دارن.

تحلیل فنی چه چیزی رو نشون داد؟

تحلیل دستی سه نگرانی کلیدی رو آشکار کرد. شبیه به خوشه اول، هر کدوم از این اپ‌های VPN شادوساکس رو به عنوان پروتکل تونل‌زنی ارائه میدن و اطلاعات کاربری رو با تمام کاربرهای این سرویس به اشتراک میذارن. مثل شرکت‌های خوشه اول، این اطلاعات کاربری به صورت hard-coded هستن.

  1. زیرساخت متمرکز: فایل‌های پیکربندی داخلی شادوساکس، پارامترهای اتصال برای ۳۳ سرور رو دارن. نکته عجیب این بود که همه سرورها توسط یه شرکت واحد، GTHost (GlobalTeleHost Corp.)، یه شرکت میزبانی کانادایی، میزبانی میشن. معمولا شرکت‌های VPN سرورهاشون رو در طیف وسیعی از ارائه‌دهندگان ابری پیکربندی میکنن تا حضور شبکه‌شون رو افزایش بدن. استقرار سرورهای VPN در یه شرکت میزبانی واحد، یه نقطه شکست واحد ایجاد میکنه؛ اگه سانسورچی‌ها این سرویس میزبانی رو مسدود کنن، همه سرورهای شرکت VPN از کار میفتن.
  2. پسوردهای مشترک (ولی متفاوت): این اپ‌ها از یکی از ۱۴ پسورد متمایز استفاده میکنن که به نظر میرسه به یکی از پورت‌های هر سرور اختصاص داده شده. خوشبختانه، این VPN‌ها از روش رمزنگاری aes-256-gcm شادوساکس استفاده میکنن، بنابراین در برابر حمله اوراکل رمزگشایی آسیب‌پذیر نیستن. اما شادوساکس خاصیت perfect forward secrecy رو نداره و استفاده از رمزنگاری متقارن این امکان رو به یه هکر شبکه میده که با استفاده از اطلاعات کاربری hard-coded، ترافیک کلاینت رو رمزگشایی کنه، چون این اطلاعات توسط همه کاربرهای سرویس به اشتراک گذاشته شده. این یافته‌ها، همراه با این واقعیت که این اپ‌ها در مجموع به بیش از ۴۰۰ میلیون نفر خدمات میدن که این اطلاعات کاربری رو به اشتراک میذارن، نگرانی‌های جدی حریم خصوصی برای اون کاربرها ایجاد میکنه.

تا جایی که میدونیم، قبلا کسی مشکلات شفافیت یا امنیتی این خوشه از شرکت‌ها رو شناسایی نکرده بود و این یکی از یافته‌های اصلی و جدید این گزارشه. با اینکه نمیشد به طور قطعی این شرکت‌ها رو به Qihoo 360 مرتبط کرد، بعضی از این شرکت‌ها به صراحت اعلام میکنن که از هنگ‌کنگ اداره میشن. بنابراین، منطقیه که نتیجه بگیریم چون همه این شرکت‌ها کد و زیرساخت سرور VPN مشترک دارن، احتمالا توسط یه تبعه چینی واحد اداره میشن و تحت قوانین کنترل اطلاعات چین قرار دارن.

این گروه از شرکت‌های قبلا بررسی نشده، چندین رویه فریبکارانه و مشکل امنیتی دارن و بر اساس شواهد، منطقیه که نتیجه بگیریم همه اونها توسط یه تبعه چینی واحد اداره میشن و تحت قوانین کنترل اطلاعات چین قرار دارن.

توصیه‌ها: حالا باید چیکار کنیم؟

اینکه مردم نباید از VPN‌های تجاری رایگان استفاده کنن اگه هدفشون ردیابی نشدنه، یه موضوع کاملا جا افتاده‌ست، چون این شرکت‌ها معمولا کتابخونه‌های تبلیغاتی دارن که اطلاعات دقیقی از کاربر برای تبلیغات هدفمند جمع‌آوری میکنن. یافته‌های این تحقیق هم همینو تایید میکنه.

در مورد پروتکل‌های تونل‌زنی در حال استفاده، شادوساکس برای دور زدن سانسور طراحی شده. این پروتکل تلاشی برای برآورده کردن محرمانگی یا سایر ویژگی‌های امنیتی نمیکنه. این طراحی و استفاده از رمزنگاری متقارن، زمینه رو برای اشتباهات برنامه‌نویسی مثل hard-code کردن پسورد شادوساکس در اپ، فراهم میکنه، همونطور که در این گزارش نشون داده شد.

توصیه‌هایی برای کاربرها

  • VPN‌ها میتونن امنیت و حریم خصوصی رو افزایش بدن، مخصوصا وقتی کاربرها در کشورهایی با قوانین کنترل اطلاعات سرکوبگرانه قرار دارن. اما متاسفانه VPN‌ها میتونن یه حس امنیت دروغین هم بدن. در مورد شرکت‌های Innovative Connecting، Autumn Breeze، Lemon Clove، Matrix Mobile، ForeRaya Technologies، Wildlook Tech، Hong Kong Silence Technology و Yolo Mobile Technology Limited، هر کاربری که از اپلیکیشن‌های اونها استفاده میکنه، خودش رو در معرض خطر بزرگی قرار میده.
  • با اینکه ممکنه استفاده از یه VPN تجاری رایگان مثل اینها وسوسه‌انگیز باشه، VPN‌های پولی به طور کلی میتونن قابل اعتمادتر و امن‌تر در نظر گرفته بشن. برای مثال، در این تحقیق هیچ مشکل جدی حریم خصوصی یا امنیتی با Lantern، Psiphon، ProtonVPN یا Mullvad پیدا نشد و به راحتی میشد فهمید کی صاحب و گرداننده اون شرکت‌هاست.
  • کاربرها باید با دقت در نظر بگیرن که برای چه کاری از VPN استفاده میکنن. اگه قصد دارن برای اتصال به حساب بانکی یا کارگزاری‌شون روی یه وای‌فای ناامن از VPN استفاده کنن، باید از VPN‌هایی استفاده کنن که شفاف و امن عمل میکنن و اونها رو به سرویس‌های رایگان یا اونهایی که سعی در ناشناس کردن هویت و اطلاعات مالکیت خودشون دارن، ترجیح بدن.
  • اگه قصد دارن از شادوساکس استفاده کنن، باید از استفاده از اپلیکیشن‌هایی که پسوردهای hard-coded رو که توسط همه کاربرهای اپلیکیشن به اشتراک گذاشته شده، توزیع میکنن، خودداری کنن. برای شادوساکس، اگه ممکنه، کاربرها باید از راهکارهایی مثل Project Jigsaw گوگل استفاده کنن، یا یه دوست فنی داشته باشن که بهش اعتماد دارن تا یه سرور پروکسی براشون راه‌اندازی کنه که بتونن بهش وصل بشن.

توصیه‌هایی برای محقق‌ها

  • محقق‌های آینده باید تلاش خودشون رو روی مقایسه نام‌های تجاری و اطلاعات مشابه با OpenCorporates و سایر منابع سوابق تجاری متمرکز کنن.
  • به شدت به محقق‌هایی که توانایی تحلیل دستی اپلیکیشن‌ها رو دارن، توصیه میشه که توجه ویژه‌ای به اونهایی داشته باشن که شادوساکس رو به عنوان پروتکل تونل‌زنی ارائه میدن، چون این احتمال وجود داره که پسورد در اپلیکیشن hard-coded شده باشه.

توصیه‌هایی برای شرکت‌های VPN

  • شرکت‌های VPN باید در نظر بگیرن که تحت قوانین کدوم کشور فعالیت میکنن و با چه تهدیدهایی روبرو هستن. شرکت‌هایی که در کشورهایی با قوانین قوی حریم خصوصی فعالیت میکنن، ممکنه بخوان اطلاعات مالکیت واقعی خودشون رو فاش کنن.
  • صرف نظر از انتخاب اپراتور برای فعالیت شفاف یا ناشناس، در دسترس قرار دادن کد برای محقق‌ها و اشخاص ثالث برای حسابرسی امنیتی، سطحی از باز بودن و ارزش‌گذاری برای حریم خصوصی و امنیت رو نشون میده، حتی اگه هویت شرکت فاش نشه.
  • از نظر امنیتی، توسعه‌دهنده‌ها باید اقداماتی برای مقاوم‌سازی زیرساخت سرور VPN در برابر هر چه بیشتر حملات خاص VPN انجام بدن.
  • اگه از شادوساکس برای انتقال استفاده میکنن، فایل‌های پیکربندی باید به صورت پویا به اپلیکیشن کلاینت VPN دانلود بشن، نه اینکه در اپلیکیشن‌ها hard-coded باشن. پسوردها هم نباید در کل پایگاه کاربری به اشتراک گذاشته بشن، چون به خطر افتادن اطلاعات کاربری یه کاربر، همه کاربرها رو به خطر میندازه.

توصیه‌هایی برای مدیران اپ استورها

  • نشان VPN موجود در گوگل پلی ممکنه باعث ایجاد حس امنیت کاذب برای کاربرها بشه. اگه یه محقق یا حسابرسی هیچ مشکل امنیتی پیدا نکنه، به این معنی نیست که مشکلی وجود نداره.
  • اپ استورها باید توسعه‌دهنده‌ها رو ملزم کنن که نام و آدرس قانونی خودشون رو لیست کنن، حداقل برای اپلیکیشن‌های VPN با توجه به ماهیت حیاتی امنیتی و پتانسیل سوءاستفاده از اونها.
  • نتایج جستجو برای VPN‌ها باید اصلاح بشه، طوری که اپ‌های VPN و توسعه‌دهنده‌های اونها در بالای نتایج جستجو تبلیغ نشن. خیلی از نتایج برتر، مثل TurboVPN، نزدیک به بالای لیست ظاهر میشدن، در حالی که این توسعه‌دهنده بارها نشون داده که فریبکارانه عمل میکنه.
  • باید بررسی سختگیرانه‌تری روی سیاست‌های حریم خصوصی و رفتار اپلیکیشن‌های VPN اعمال بشه. در مورد VPN Proxy Master، سیاست حریم خصوصی به صراحت میگه که اطلاعات جغرافیایی جمع‌آوری نمیکنه، اما اپلیکیشن با استفاده از یه API شخص ثالث این اطلاعات رو جمع‌آوری میکنه.
  • این توسعه‌دهنده‌ها در حال نقض تعدادی از قوانین هم در گوگل پلی و هم در اپ استور اپل هستن، که اونها هم به نوبه خودشون در اجرای کافی قوانینشون کوتاهی میکنن. این موضوع مخصوصا با توجه به پیروی اونها از درخواست‌های اخیر برای حذف اپلیکیشن‌های VPN در کشورهایی مثل روسیه و چین، نگران‌کننده‌ست. پیروی گوگل و اپل این سوال رو به وجود میاره که واقعا چه چیزی انگیزه عدم اجرای قوانین حریم خصوصی اونهاست. چرا اونها به سرعت اپلیکیشن‌های VPN شفاف رو (به دستور دولت‌های خودکامه) از دسترس کاربرها در کشورهایی که به طور قابل توجهی حریم خصوصی و امنیت کاربر رو نقض میکنن، حذف میکنن، در حالی که همزمان به اپ‌های مشکوک اجازه میدن در فروشگاه‌هاشون باقی بمونن و کاربرها رو در آمریکا و خارج از اون در معرض خطر نقض امنیت دیجیتال و حریم خصوصی قرار میدن؟
  • این به نفع عموم مردمه که مدیران اپ استورها امنیت و حریم خصوصی کاربر رو بالاتر از سود قرار بدن.

منبع۱ / منبع۲ (گزارش PDF)

دیدگاه‌ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

نوشته‌های بیشتر