Maioria das VPNs gratuitas mais populares tem falhas de segurança

Por Felipe Demartini | 06 de Dezembro de 2018 às 19h50

Uma pesquisa realizada pela Top 10 VPN revelou que a esmagadora maioria dos serviços gratuitos a fornecerem esse tipo de tecnologia contam com graves falhas de segurança e privacidade. O estudo, conduzido pelo site que realiza análises e publica insights sobre esse tipo de solução, avaliou os 30 apps mais usados no Android e iOS, encontrando irregularidades em 86% deles.

A principal questão apontada pelo estudo é a presença de políticas de privacidade e segurança irregulares. Entre os quesitos encontrados na esmagadora maioria dos VPNs gratuitos mais populares estão termos de uso genéricos e que não abordam elementos específicos da tecnologia e a ausência de detalhes importantes sobre como os dados dos usuários são tratados. Levando em conta que estamos falando de serviços que funcionam como um intermediário entre o usuário e todo o acesso realizado à internet, a ausência desse tipo de elemento básico foi considerada como “inaceitável”.

Este é o caso, por exemplo, da Super VPN Free, uma das soluções mais populares da plataforma Android, com mais de 50 milhões de downloads registrados. O serviço até tem política de privacidade, mas o acesso a ela é dificultado, a partir do próprio aplicativo, e traz poucos detalhes, além de ter sido escrita em um inglês com diversos erros de ortografia e termos sem sentido, provavelmente fruto de uma tradução automática do chinês.

Participe do nosso GRUPO CANALTECH DE DESCONTOS do Whatsapp e do Facebook e garanta sempre o menor preço em suas compras de produtos de tecnologia.

Pesquisa descobriu que, das 30 VPNs mais usadas no Android e iOS, 86% são problemáticas no que toca a segurança e privacidade

Além disso, o contato de suporte é um e-mail gratuito, hospedado no Gmail, enquanto sua desenvolvedora, a SuperSoftTech não tem site oficial. O endereço registrado na conta da empresa na Google Play Store, na realidade, é de um campus na Universidade Nacional de Cingapura, onde a companhia diz ter sede, mas, na visão do estudo, deve representar uma informação falsa, já que a companhia, na realidade, teria suas raízes em Pequim, na China.

Localizações imprecisas ou ausentes, e-mails gratuitos que servem para atendimento a usuários (e cujas solicitações normalmente não são respondidas) e a dificuldade de se localizar sites oficiais de desenvolvedores estão entre os alertas mais comuns sobre as VPNs gratuitas. Para 64% das produtoras de apps do tipo, a única presença online é a própria página na App Store ou Google Play.

Além disso, entre os aplicativos que efetivamente possuem políticas de privacidade e segurança, 55% disponibilizam tais informações de maneira considerada “amadora”. Entre os achados, estão sites hospedados em plataformas gratuitas como o Wordpress ou links para download de textos simples em serviços como o Pastebin ou servidores da Amazon, que podem ser contratados por qualquer pessoa. 52% dos apps utilizaram e-mails gratuitos e abertos ao público para registro e suporte, enquanto 83% das mensagens enviadas a tais endereços não foram respondidas.

Incertezas também puderam ser vistas no Hotspot Shield e no Betternet, as duas VPNs gratuitas mais usados pelos donos de iPhone. Por mais que a empresa dona destas tecnologias, a AnchorFree, tenha suas sedes bem firmadas nos Estados Unidos, com estrutura corporativa clara e ligações diretas à primeira solução, ela não é muito transparente quanto às suas responsabilidades em relação à segunda e uma terceira, a TouchVPN. Juntas, elas somam mais de 2,7 milhões de downloads no iOS, além de outros 70 milhões no Android.

A AnchorFree também esteve envolvida em uma investigação federal em 2017, depois que o Centro de Democracia e Tecnologia, uma ONG americana, a acusou de enganar os usuários e exigir anúncios em seu aplicativo gratuito. De acordo com o estudo, diversas melhorias nos termos de uso foram feitas após o inquérito, cujas alegações foram negadas pela empresa. Desde então, um relatório anual de transparência também passou a ser publicado por ela.

O que mais chamou a atenção dos pesquisadores, entretanto, foram as fortes ligações entre a China e 17 das 30 soluções avaliadas. O país mantém um forte controle sobre a utilização da internet e, neste ano, baniu completamente a utilização de VPNs em todo seu território. Ainda assim, boa parte das soluções disponíveis para o público global surgiram por lá.

Listas de acionistas, endereços esquisitos e até termos de uso compartilhados estão entre os principais problemas encontrados nas VPNs gratuitas (Imagem: Top 10 VPN)

O Canaltech teve acesso a documentos não divulgados ao público por conterem informações sensíveis, mas que compuseram a pesquisa e os achados da Top 10 VPN. Eles trazem informações como endereços, telefones e até estruturas societárias, bem como listas de acionistas, de algumas das desenvolvedoras das soluções mais populares, incluindo também ligações ao governo do país asiático.

Em alguns casos, os termos de uso chegam a afirmar explicitamente que os dados de navegação dos usuários estão sendo coletados e podem ser compartilhados com “terceiros” de origem chinesa. O governo do país nem sempre é citado, mas a associação entre as duas coisas soa bastante óbvia.

Usuários na mira

Para Simon Migliano, pesquisador-chefe da Top 10 VPN, os serviços de anonimato gratuito representam um problema semelhante ao visto atualmente no Facebook, por exemplo, no qual os dados dos usuários são a moeda mais valiosa das empresas e desenvolvedoras. “É importante lembrar que nada é grátis de verdade, ainda mais quando se trata de serviços que precisam ter uma rede global para funcionamento. Se você não está pagando pelo produto, os responsáveis por ele estão ganhando dinheiro de outra forma”, explica.

O especialista, ainda, volta seu olhar para a Google e a Apple, que estariam permitindo a publicação e download livres das soluções suspeitas, sem nenhum tipo de atitude tomada contra elas, mesmo diante de achados como os atuais. Para ele, as companhias precisam de padrões e verificações mínimas para garantir a segurança dos usuários na utilização de soluções desse tipo.

“Os usuários precisam saber em quem estão confiando seus dados para quem possam tomar uma decisão informada”, continua Migliano. Para ele, um monitoramento constante das atualizações a aplicativos do tipo, bem como a exigência de informações transparentes quanto a termos de uso e associações suspeitas são necessários para que as lojas de aplicativos não sirvam como porta de entrada para soluções maliciosas ou problemáticas.

Hoje, o ônus da proteção e do cuidado quanto a aplicativos dessa categoria recai completamente sobre o próprio usuário, que precisa investigar as responsáveis pelos aplicativos que deseja baixar por conta própria. Isso, claro, caso não confiem cegamente nas soluções disponíveis na Google Play e App Store, acreditando que as responsáveis pelo marketplace estão tomando este cuidado por eles. “Nada disso está sendo feito”, alerta o pesquisador.

A falta de atitude da Apple e da Google deixam o usuário à própria sorte quando o assunto é a segurança, afirma pesquisador

O ideal, afirma ele, é dar preferência para serviços de VPN pagos e desenvolvidos por empresas reconhecidas, cuja reputação pode ser facilmente verificada. Não se deve começar a busca por soluções assim diretamente nas lojas de aplicativos, mas sim, procurar análises independentes em mecanismos de busca, onde informações mais especializadas podem ser encontradas. Sempre faça o download a partir dos sites oficiais das responsáveis pelo app, também, de forma a evitar aplicativos fraudulentos que tentam simular a aparência de outros mais populares.

E se o usuário já tiver utilizado uma das soluções suspeitas citadas pela pesquisa? Migliano aponta que, nesse caso, o ideal é trocar todas as senhas de serviços que tenham sido utilizados através da VPN e checar com frequência os registros bancários em busca de possíveis fraudes. Nada, entretanto, pode ser feito quanto a históricos de pesquisa e navegação que já foram registrados pelos serviços de anonimato.

“Nestes casos, a única alternativa é evitar que a quebra na própria privacidade continue a acontecer”, apontou o especialista, indicando, novamente, a procura por soluções certificadas e, de preferência, pagas. Além, é claro, de interromper completamente o uso do aplicativo suspeito, desinstalando-o do dispositivo.

Fonte: Top 10 VPN

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.