Хакер #315. Positive Hack Days Fest 3
Аналитики Citizen Lab предупредили, что более 20 VPN-приложений из магазина Google Play имеют серьезные проблемы с безопасностью, которые угрожают приватности пользователей и позволяют расшифровывать передаваемые данные. Суммарно эти приложения насчитывают 972 млн скачиваний.
Специалисты рассказывают, что VPN-провайдеры, которые распространяют проблемные приложения, явно связаны друг с другом. При этом они заявляют, что являются отдельными компаниями, а также используют различные способы, чтобы скрыть настоящее положение дел.
Отчет Citizen Lab отталкивается от предыдущих исследований, которые выявили взаимосвязь между тремя поставщиками VPN, якобы базирующимися в Сингапуре — Innovative Connecting, Autumn Breeze и Lemon Clove. Все эти компании ранее удалось связать с гражданином Китая, а теперь аналитики выявили дополнительные пересечения между приложениями, а также нашли связь с другими VPN-приложениями и их разработчиками.
Согласно отчету, восемь VPN-приложений, созданных Innovative Connecting, Autumn Breeze и Lemon Clove, используют общий код, зависимости и жестко закодированные пароли, что потенциально позволяет атакующим расшифровывать весь трафик пользователей. Суммарно эти приложения насчитывают более 330 млн установок в Google Play Store.
Все три компании, которые ранее были связаны с Qihoo 360 (китайской ИБ-компанией, попавшей под санкции США в 2020 году), предлагают VPN-сервисы и полагаются на протокол Shadowsocks, который исходно создавался для обхода «Великого китайского файрвола».
Исследователи отмечают, что протокол использует симметричное шифрование и уязвим для различных атак из-за применения устаревших шифров и жестко закодированных паролей. Кроме того, его взаимодействие с системой отслеживания соединений в ОС позволяет атакующим захватывать контроль над соединениями жертв.
Восемь приложений (Turbo VPN, Turbo VPN Lite, VPN Monster, VPN Proxy Master, VPN Proxy Master – Lite, Snap VPN, Robot VPN и SuperNet VPN) поддерживают протоколы IPsec и Shadowsocks, тоже демонстрируют значительные пересечения в коде, а также используют различные механизмы для антианализа и обхода автоматических проверок безопасности.
Все изученные специалистами приложения оказались уязвимы перед атаками на вмешательство в соединения и инъекциями пакетов. Все они тайно собирают информацию о местоположении пользователей, используют слабое шифрование и содержат один и тот же жестко закодированный пароль для конфигурации Shadowsocks.
Используя этот пароль, в Citizen Lab обнаружили, что все три поставщика VPN, предлагающие эти приложения, используют единую инфраструктуру, что еще раз подтверждает связь между ними.
При этом отмечается, что другая группа провайдеров — Matrix Mobile PTE LTD, ForeRaya Technology Limited, Wildlook Tech PTE LTD, Hong Kong Silence Technology Limited и Yolo Mobile Technology Limited — также может быть связана с упомянутой тройкой, учитывая использование одинаковых протоколов, похожесть кода и обфускации.
Их VPN-решения, суммарно насчитывающие более 380 млн скачиваний, тоже оказались уязвимы для атак на вмешательство в соединения, содержат обфусцированные пароли и подключаются к одному и тому же набору IP-адресов.
Два других поставщика — Fast Potato Pte. Ltd и Free Connected Limited — предлагают VPN-клиенты, которые полагаются на одну и ту же проприетарную реализацию протокола.
По данным Citizen Lab, выявленные проблемы безопасности и приватности в изученных приложениях по-разному влияют на пользователей. Например, они могут нарушать доверие и приватность за счет скрытого сбора данных о местоположении, а также могут подвергать людей риску перехвата и модификации трафика.
«Обнаруженные нами проблемы затрагивают пользователей, провайдеров и магазины приложений. Пользователям VPN, которые ценят свою приватность, как минимум рекомендуется избегать использования Shadowsocks, включая приложения от этих разработчиков, поскольку Shadowsocks был создан не для обеспечения приватности, а для обхода цензуры», — заключили в Citizen Lab.
