Anda a usar uma VPN gratuita no seu smartphone Android para garantir a sua privacidade? Talvez seja boa ideia pensar duas vezes. Um novo estudo académico revela que 18 das 100 aplicações de VPN mais descarregadas na Google Play Store, que juntas somam mais de 700 milhões de downloads, pertencem secretamente a apenas três "famílias" de empresas e partilham graves falhas de segurança.
A investigação, publicada no jornal do Privacy Enhancing Technologies Symposium (PETS), mostra que estas aplicações, que se apresentam como concorrentes independentes, na realidade partilham infraestruturas, código e, em alguns casos, proprietários com ligações preocupantes.
As famílias secretas que partilham mais do que o nome
Os investigadores analisaram documentação empresarial, a presença online e o código-fonte de dezenas de aplicações para encontrar estas ligações ocultas. O resultado foi a identificação de três grupos distintos de VPNs que não divulgam as suas relações aos utilizadores.
A descoberta levanta sérias questões sobre a transparência e a confiança que se pode depositar em serviços que prometem proteger os nossos dados mais sensíveis.
As ligações perigosas: da China à partilha de infraestruturas
As três famílias identificadas no estudo, intitulado "Hidden Links: Analyzing Secret Families of VPN apps", agrupam algumas das VPNs gratuitas mais conhecidas do mercado.
A Família A é talvez a mais preocupante. Inclui as apps Turbo VPN, Turbo VPN Lite, VPN Monster, VPN Proxy Master, VPN Proxy Master Lite, Snap VPN, Robot VPN e SuperNet VPN. Estas são partilhadas por três empresas (Innovative Connecting, Lemon Clove e Autumn Breeze) que foram associadas à Qihoo 360, uma empresa sediada na China e que o Departamento de Defesa dos EUA identificou como uma "empresa militar chinesa".
A Família B agrupa oito serviços, incluindo Global VPN, XY VPN, Super Z VPN, Touch VPN e Melon VPN. A investigação descobriu que todas estas aplicações, partilhadas entre cinco fornecedores, utilizam os mesmos endereços IP da mesma empresa de alojamento.
Finalmente, a Família C é composta pela X-VPN e pela Fast Potato VPN. Embora venham de empresas diferentes, os investigadores encontraram semelhanças suspeitas no código e a utilização do mesmo protocolo VPN personalizado.
A vulnerabilidade que deixa a porta aberta a ataques
O problema não fica apenas pela falta de transparência. O estudo revela uma falha de segurança crítica partilhada por todas as 18 aplicações. Todas utilizam o protocolo Shadowsocks com uma palavra-passe fixa diretamente no código da aplicação.
Esta prática de segurança amadora torna estas VPNs vulneráveis a ataques que podem expor toda a atividade de navegação do utilizador, bem como injetar dados corrompidos ou até mesmo malware no seu tráfego de internet.
O que pode fazer para se proteger?
Este estudo serve como um alerta sério para os perigos de muitas VPNs gratuitas. A falta de honestidade sobre quem está por trás do serviço, combinada com uma infraestrutura de segurança deficiente, mostra que o objetivo destas aplicações pode não ser a sua proteção.
As lojas de aplicações, como a Google Play Store, não parecem ser uma linha de defesa eficaz contra este tipo de práticas. A recomendação é clara: evite descarregar uma VPN gratuita sem uma investigação prévia e prefira serviços que são suportados por subscrições pagas, como o Proton VPN, que oferecem um nível de transparência e segurança muito superior.
Nenhum comentário
Seja o primeiro!