این روزا همه دنبال یه راه سادهان که بتونن تو اینترنت ناشناس وبگردی کنن، واسه همین کلی برنامه VPN رایگان رو گوشیها نصب میشه. اما میدونی چیه؟ یه تحقیق جدید نشون داده خیلی از این VPNـهای رایگان دقیقاً کاری برعکسِ حرفشون انجام میدن و حتی ممکنه کلی اطلاعات حساس رو ازت جمع کنن! قطعاً شنیدی که میگن VPN یعنی Virtual Private Network یا «شبکه خصوصی مجازی» که قرار بود امنیت و حریم شخصیت رو موقع وبگردی حفظ کنه. ولی ظاهراً بعضیاشون دارن نقش جاسوس رو بازی میکنن!
یه تیم به اسم Zimperium zLabs (که کارشون امنیت سایبری و کشف بدافزارهاست) اومده و یه عالمه VPN رایگان مخصوص اندروید و iOS رو بررسی کرده، بعد فهمیدن خیلی از این برنامهها کلی دسترسی مشکوک و عجیب میخوان. مثلاً “دسترسی به لاگهای سیستم” یا همون “READ_LOGS” تو اندروید، یعنی برنامه میتونه تقریباً هر حرکتی که با گوشیت میزنی رو ببینه؛ حتی مثل اینه که رمزها و پیامهات رو بخونه! خب این یعنی رسماً جاسوس داری روی گوشیت.
یه سری برنامهها هم تو آیفون وسط گود اومدن و سراغ مجوز “LOCATION_ALWAYS” رفتن. یعنی ۲۴ ساعته لوکیشن و موقعیت جغرافیاییتو دارن رصد میکنن. طبیعتاً VPN نباید اصلاً کارش این باشه، مگر اینکه بخواد هر لحظه بدونه تو کجایی! با این دسترسیها، برنامهها میتونن از کل حرکات آنلاین و حتی آفلاین کاربر یه پروفایل ریز بسازن و همهچی رو ازت بدونن.
یه توضیح سریع: “permission” همان مجوزها یا دسترسیهایی هست که هنگام نصب یا استفاده، برنامه ازت میپرسه. خیلی وقتا که دقت نکنی، ممکنه چیزایی رو اجازه بدی که اصلاً نباید بدی. “private entitlement” هم یعنی یه سری دسترسیهای عمیق به سیستمعامل گوشی که دست خیلیا بهش نمیرسه، ولی این برنامهها دور زدنش رو بلدن. با این دسترسیها، برنامه کلاً میتونه کنترل گوشی رو بهدست بگیره یا دیتاهای مهمت رو بکشه بیرون.
جالب اینه که بعضی از این توسعهدهندهها (یعنی اونایی که برنامه رو ساختن) برای اینکه گولتون بزنن، دسترسیهای مشکوک رو با دلیلای الکی توجیه میکنن: مثلاً میگن اینا برای رفع مشکل ارتباط یا بهتر کردن اتصال لازم بوده! در صورتی که واقعیت، بیشتر شبیه جاسوسبازی و اسکن کردن شبکه و دستگاهای اطرافتونه.
حتی بعضیهاشون از کتابخونههای OpenSSL قدیمی (که وظیفه رمزنگاری داده رو داره) هنوز استفاده میکنن؛ این نسخهها به «مشکل امنیتی هارتبلید» (Heartbleed bug) که سال ۲۰۱۴ سروصدا کرد، آسیبپذیرن. یعنی امنیت رو کلاً کشک فرض کردن! از اون بدتر، بعضیاشون اصولاً گواهی امنیتی یا همون certificateها رو درست بررسی نمیکنن و این باعث میشه راحت بشه بهشون حمله Man-in-the-Middle کرد؛ یعنی یکی بین راه، اطلاعات رو بقاپه.
یه مورد عجیبتر! بعضی VPNها مجوز “USELOCALNETWORK” رو میخوان؛ با این یکی، برنامه میتونه کل دستگاههایی که به وایفای وصلن رو اطرافش شناسایی کنه. خب این حرکت بیشتر شبیه بدافزارهاست تا یه ابزار امنیتی ساده! تازه بعضیاشون دکمه گرفتن اسکرینشات رو هم برداشتن؛ یعنی هرچی روی صفحهت باز باشه احتمال داره بره تو دست اینا…
خلاصه، با این همه دودرهبازی و ریسک، واقعاً تشخیص اینکه کدوم VPN امنه و کدوم ناامن خیلی مهمه. ولی بدیش اینه که Zimperium اسم این برنامههای مشکوک رو اعلام نکرده و ما نمیدونیم دقیقاً کدومهاشون خطرناکان. پس اگه اهل VPN رایگان هستی، خیلی باید حواست باشه!
اگه دنبال گزینهی مطمئن میگردی، بهتره بری سراغ اونایی که شفافیت دارن، خطمشی حریم خصوصیشون (یعنی privacy policy) مشخصه، و توسط شرکتهای مستقل بررسی شدن. تازه موقع نصب، هر مجوز و دسترسی عجیبی رو بررسی کن، مخصوصاً درخواستهایی که ربطی به کار VPN ندارن.
در آخر، برای اخبار و آموزشهای ناب در همین حوزهها دنبال TechRadar باش (اگه انگلیسیت خوبه!)؛ یا از شبکههای اجتماعی و منابع مطمئنتر استفاده کن که از این تیغهای تیز کلاهبرداری دور بمونی!
یادته قدیما فایروال رو فقط رو کامپیوتر میذاشتیم؟ الان کلی ابزار قوی فایروال و امنیت نقطه پایانی (یعنی endpoint protection software – نرمافزارهای مخصوص محافظت دستگاه در برابر حملهها) تو بازار هست که شاید گزینهشون منطقیتر باشه تا یه VPN رایگان مشکوک! خیلی خلاصه: اگه چیزی مجانیه، شاید خودت «محصول» اون قضیهای! پس بیشتر مواظب باش.
منبع: +
