MVPNalyzer

Editors' Pick

A NDSS 2026 konferencián bemutatott kutatásban a szerzők az MVPNalyzer nevű elemzőkeretrendszert fejlesztették ki, amellyel 281 népszerű Android VPN-alkalmazás működését vizsgálták a Google Play Áruházból. A kutatás abból indult ki, hogy a VPN-ek használatakor a felhasználó a hálózati szolgáltatók helyett a VPN-szolgáltatóra ruházza át a bizalmat, hiszen az alkalmazás teljes hozzáférést kap a készülék hálózati forgalmához. Ennek ellenére a mobil VPN-ek biztonsági és adatvédelmi ellenőrzései eddig korlátozottak voltak.

Az elemzés súlyos és rendszerszintű problémákat tárt fel. A 281 alkalmazásból 61 titkosítás nélkül továbbított adatokat, közülük 5 VPN-konfigurációs fájlokat is nyílt szövegben küldött el. Ez lehetővé teheti, hogy egy hálózati támadó megszerezze a VPN-kapcsolat paramétereit, és átvegye az irányítást a VPN tunnel hijacking. Emellett 29 alkalmazás a VPN-alagúton kívül szivárogtatott ki felhasználói forgalmat – beleértve DNS-kéréseket is –, ami felfedheti a felhasználó által meglátogatott webhelyeket és aláássa a VPN egyik alapvető célját.

A kutatók azt is megállapították, hogy 169 VPN-alkalmazás nem alkalmazott forgalomelrejtő technikákat, ezért a VPN-kapcsolat egyszerűen felismerhető és blokkolható olyan környezetekben, ahol cenzúrát vagy VPN-szűrést alkalmaznak. 76 alkalmazás továbbította a Google Advertising ID azonosítót, amelyet eszköz- és felhasználókövetésre használnak, ami adatvédelmi szempontból különösen aggályos egy anonim böngészést ígérő szolgáltatás esetében. További 107 alkalmazás nem követte a VPN-konfigurációk ajánlott biztonsági gyakorlatait, például gyenge kriptográfiai beállításokat vagy nem megfelelő tanúsítványkezelést alkalmazott.

A kutatók szerint ezek az alkalmazások együttesen több százmillió telepítéssel rendelkeznek, így a problémák nem elszigetelt esetek, hanem jelentős számú felhasználót érintenek. A mobil VPN-ek piacán továbbra is gyakori a fejlesztői hanyagság, a nem megfelelő karbantartás és az átláthatóság hiánya, ami miatt számos alkalmazás még a VPN-ekkel szemben támasztott legalapvetőbb biztonsági és adatvédelmi garanciákat sem teljesíti.

FORRÁS