Falsa sensação de segurança: VPN grátis pode ser porta de entrada para hackers

Uma pesquisa da empresa de segurança Zimperium zLabs analisou 800 aplicativos gratuitos de VPN para celulares Android e iOS e revelou inúmeras falhas críticas de segurança, desde má implementação de códigos a permissões excessivas e falta de transparência dos desenvolvedores. As brechas não só afetam usuários como também empresas que permitem o uso de dispositivos pessoais para acessar sistemas internos.

• O que é uma VPN?
• Criptografia para iniciantes: o que é e por que é importante?

Uma boa parte dos apps, segundo o relatório, possui comportamento malicioso, seja vazando dados pessoais ou não garantindo privacidade alguma. Três aplicativos, por exemplo, ainda usam uma versão obsoleta da biblioteca OpenSSL, deixando usuários vulneráveis ao bug Heartbleed (CVE-2014–0160), descoberto e corrigido em 2014, há mais de 10 anos.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

A brecha possibilita acesso remoto de hackers a informações sensíveis, como nomes de usuário, senhas e outras chaves de segurança. Aproximadamente 1% dos apps se mostraram vulneráveis a ataques man-in-the-middle, permitindo a interceptação e leitura de todos os dados de usuários.

Problemas de permissão e transparência

Enquanto alguns aplicativos apresentam problemas apenas devido à má construção, outros já vêm com intenções maliciosas. Um problema identificado em grande parte dos apps é o Abuso de Permissões, como uma VPN de iOS que pede acesso à localização 100% do tempo.

Como a aplicação só deve assegurar a segurança do tráfego, usar a localização o tempo todo não faz sentido algum. Já alguns aplicativos de Android pedem permissão para ler todos os logs de sistema, permitindo a construção de um perfil completo de comportamento do usuário, sendo um keylogger sofisticado.

Segundo a Zimperium zLabs, a falta de transparência é generalizada, dado que os apps não informam os usuários de todas as suas atividades e razão das permissões, por exemplo. Isso impede que o cliente possa consentir com a coleta de seus dados de maneira informada.

Até mesmo na App Store, da Apple, 25% dos aplicativos de VPN não possuem um manifesto de privacidade válido, um requerimento chave que informa aos usuários como seus dados serão coletados.

Até 6% dos apps de iOS pedem títulos privados, permissões poderosas que garantem acesso profundo ao sistema operacional — e que nunca devem ser cedidas a desenvolvedores terceirizados. Essas VPNs constituem problemas críticos em empresas que deixam usuários usarem dispositivos pessoais para o trabalho (política BYOD).

De acordo com a Zimperium, algumas empresas lidam com o problema gerando listas de apps proibidos, mas é visto que a segurança deve ser encarada com mais prioridade. O foco, agora, deveria ser em limitação a nível de conteúdo, concluem os especialistas, ao invés de de segurança com base em perímetro, como as VPNs.

Veja mais:

• O que é phishing e como se proteger?
• O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
• O que é firewall e como ele funciona?

VÍDEO | O que é VPN?

Fonte: Zimperium