Mais de 40% de todas as VPNs Android gratuitas vazam dados pessoais

08/10/2020 mindsecblog Artigos, Notícias 1

Mais de 40% de todas as VPNs Android gratuitas vazam dados pessoais. Relatório da ProPrivacy aponta que dados de milhões de usuários VPN Android podem estar vazando informações pessoais.

A ProPrivacy analisou os 250 principais aplicativos de VPN gratuitos na Google Play Store e descobriu que mais de 40% não protegeram adequadamente a privacidade dos usuários. Coletivamente, esses aplicativos, que afirmam falsamente proteger a privacidade, representam cerca de 81,4 milhões de downloads.

A análise da ProPrivacy destaca que:

  • 40% de todas as VPNs gratuitas na Google Play Store vazam informações de identificação pessoal
  • 81,4 milhões de downloads de aplicativos com defeito
  • Milhões de usuários em todo o mundo podem estar em risco
  • Desenvolvedores que criam várias versões de aplicativos com defeito
  • ProPrivacy lançou uma ferramenta de teste de vazamento gratuita e totalmente automatizada para ajudar a combater o aumento de serviços de baixa qualidade

A tecnologia VPN já foi vista como um produto de nicho, usado por membros marginais da sociedade para proteger atividades maliciosas, mas não é mais o caso. Mas, devido à crescente preocupação com a privacidade digital isto está mudando.

Uma série de momentos decisivos ocorreram ao longo dos anos; das revelações de Edward Snowden em 2013 ao escândalo Cambridge Analytica em 2019, os consumidores tornaram-se perfeitamente cientes de que sua privacidade está enfrentando ataques sem precedentes.

Em março de 2017, a administração dos Estados Unidos e a FCC desmontaram completamente as proteções de privacidade do consumidor, permitindo que os ISPs rastreiem clientes e vendam dados a terceiros. Isso provou ser um ponto de inflexão e viu aumentos acentuados na aceitação de VPN nos EUA. 

A crescente consciência da privacidade digital criou uma oportunidade extremamente lucrativa. Projeta-se que o mercado combinado de VPN alcance mais de US $ 50 bilhões em 2024, ante US $ 34 bilhões em 2018.

VPNs de consumidores foram baixados mais de 1,25 bilhão de vezes apenas na Google Play Store. Coletivamente, isso é mais do que Twitter, Snapchat, Skype e Microsoft Word.

As VPNs se tornaram um grande negócio e todo mundo quer um pedaço do bolo. Como costuma acontecer com mercados de alto crescimento, também há oportunistas dispostos a tirar vantagem da crescente demanda do consumidor.

Investigação: quantas VPNs Android gratuitas realmente funcionam?

As VPNs de consumidor têm várias finalidades e são usadas por pessoas diferentes por motivos diferentes. Eles são capazes de contornar o conteúdo com restrição geográfica e isso os tornou extremamente populares para acessar serviços como o Netflix, que restringe muito de seu conteúdo com base na região.

No entanto, como o nome sugere, sua função principal é proteger e manter a privacidade do indivíduo que usa o serviço. Um provedor de VPN deve ser capaz de enfrentar os desafios técnicos envolvidos em mascarar a identidade de seus usuários. De cidadãos preocupados com a privacidade em um do espectro a dissidentes, jornalistas e denunciantes em outro, as pessoas contam com VPNs para trabalhar. Se não atender aos requisitos técnicos básicos, as consequências no mundo real podem ser terríveis.

Os custos envolvidos na construção e manutenção de uma infraestrutura VPN de qualidade, bem como um cliente de software capaz de proteger os usuários, são significativos. Para oferecer um serviço sustentável e confiável, esses custos são quase sempre repassados ​​aos usuários na forma de assinaturas. Existem vários serviços confiáveis ​​que oferecem planos gratuitos, mas geralmente são combinados com um plano premium e restritos na forma de largura de banda ou limites de dados.

Apesar dos custos envolvidos na construção de um serviço funcional, os mercados de telefonia móvel estão repletos de serviços VPN que pretendem ser “gratuitos“. Em alguns casos, esses aplicativos são frequentemente usados ​​como um veículo para publicidade legítima. Em casos mais sinistros, são honeypots, projetados para colher dados para serem vendidos a terceiros.

O que a ProPrivacy queria entender era se esses aplicativos funcionavam em um nível técnico, então realizaram uma auditoria mais extensa do mercado de aplicativos VPN para Android até hoje.

A Google Play Store é o maior mercado móvel de seu tipo, com cerca de 3,16 milhões de aplicativos disponíveis para os consumidores, quase o dobro da App Store da Apple (1,79 milhão).

O ProPrivacy identificou 4.970 aplicativos VPN na Google Play Store, no entanto, a Google Play Store só puxa os 250 melhores aplicativos com base em qualquer consulta, portanto, foram esses aplicativos que se tornaram o foco da investigação.

Destes, 32 eram serviços premium (pagos) e, portanto, foram descontados das análises. Outros 14 foram descontados porque não eram serviços VPN de boa-fé ou não podiam ser instalados.

As 204 VPNs restantes foram então instaladas em ambientes sandbox e amplamente testadas para uma variedade de vazamentos usando conexões IPv4 e IPv6.

Os resultados foram perturbadores. Quatro em cada dez VPNs testados apresentaram vazamento. No total, descobriram que 82 VPNs dos 204 testados não forneciam um endereço IPv4 e, portanto, não podiam ser considerados funcionais ou estavam vazando dados via IPv6 e / ou WebRTC.

A ascensão do IPv6 e o ​​impacto nas VPNs

O protocolo da Internet (IP) é a base da web. Cada dispositivo é identificado através de seu próprio endereço IP para que a comunicação pela Internet funcione.

A versão anterior do protocolo, IPv4, usava um esquema de endereçamento de 32 bits, capaz de suportar 4,3 bilhões de dispositivos. No entanto, tornou-se aparente há mais de 20 anos que a Internet estava destinada a crescer além desse limite e, em 1998, a IETF criou o IPv6, que usa endereçamento de 128 bits para suportar dispositivos de aproximadamente 340 trilhões de trilhões (ou 2 elevado à 128ª potência) . 

Muitos ISPs, sites e serviços ainda não suportam IPv6. É por isso que muitos provedores de serviços VPN negligenciam a abordagem de como as conexões IPv6 devem ser tratadas. No entanto, a conectividade IPv6 está aumentando. Dados fornecidos pelo Google sugerem que entre 25 e 30 por cento de todo o seu tráfego é agora IPv6.

Adoção IPv6

Fonte: Google

Os clientes VPN de alta qualidade oferecem proteção contra vazamento de IPv6. Na maioria dos casos, isso é feito desabilitando o IPv6 no nível do sistema para garantir que as conexões IPv6 simplesmente não sejam possíveis. Um número crescente de provedores de VPN de qualidade agora roteia conexões IPv6 por meio da interface VPN. 

Quase todos (87 por cento) dos vazamentos foram relacionados ao IPv6, sugerindo que os desenvolvedores Android não estão mitigando o crescimento do IPv6. 

Outras nove VPNs exibiram vazamentos de WebRTC. Esses serviços incluíram dois provedores com mais de 5 milhões de downloads cada.

Com base nos números médios de adoção global do padrão IPv6, combinados com o número total de downloads mensais, o ProPrivacy estima que até 39 milhões de usuários possivelmente vazaram informações pessoais no IPv6.

Desenvolvedores lançando várias versões da mesma VPN

Outra tendência perturbadora observada durante os testes foram os clusters de VPNs. Os desenvolvedores estão lançando várias instâncias da mesma VPN com nomes diferentes para capturar o máximo de tráfego possível. As VPNs usam a mesma infraestrutura, os mesmos pools de IP e o mesmo cliente, mas têm como alvo diferentes termos de pesquisa na Play Store.

Também havia instâncias de várias contas de desenvolvedor usando a mesma infraestrutura VPN e cliente (aplicativo). No caso mais extremo, identificaram 141 VPNs, em três contas de desenvolvedor diferentes, todas operando na mesma infraestrutura com falhas. Coletivamente, esses aplicativos tiveram cerca de 100.000 downloads.

O problema com os vazamentos de VPN é que eles não são aparentes para o usuário final. Para todos os efeitos, um aplicativo VPN pode parecer 100% operacional e o usuário não saberá que está vazando dados potencialmente confidenciais.

E então?

Para alguns usuários, esse pode ser um risco aceitável. Para outros, como aqueles que vivem sob regimes autoritários, o impacto de uma VPN que não funciona pode ser profundo.  

Existem maneiras de testar VPNs para garantir que estão protegendo adequadamente a privacidade do usuário, mas sem conhecimento suficiente dos tipos específicos de vazamentos e de como interpretar os dados, pode ser difícil para o consumidor médio verificar a integridade do aplicativo escolhido.

Para combater o número crescente de vazamentos que estamos observando, particularmente em mercados móveis, a ProPrivacy lançou a primeira ferramenta de teste de vazamento totalmente automatizada.

O aplicativo da web segura a mão do usuário em cada etapa do processo de teste e possui proteções contra falhas integradas para minimizar os erros do usuário.

Os resultados são apresentados em um relatório de fácil compreensão que oferece conselhos ao usuário caso um vazamento seja detectado.

A esperança é que, ao remover alguns dos atritos envolvidos no teste de vazamentos, os usuários tenham autonomia para exigir mais de sua VPN e, por sua vez, os provedores sejam incentivados a criar produtos de qualidade que atendam aos requisitos básicos de seus clientes.  

Você pode acessar a ferramenta de teste de vazamento ProPrivacy em qualquer dispositivo ou plataforma agora.

Vejam o relatório completo em ProPrivacy 

 

Fonte: ProPrivacy 

 

Veja também:

Sobre mindsecblog 2431 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube Linkedin

Artigos Relacionados

1 Trackback / Pingback

  1. Lei que criminaliza o Stalking é sancionada pelo Presidente Jair Bolsonaro

Deixe sua opinião!