Casi dos docenas de aplicaciones VPN en Google Play presentan vulnerabilidades de seguridad que afectan la privacidad de sus usuarios, exponiendo los datos transmitidos al desencriptamiento, según un nuevo informe de Citizen Lab.
Además, los proveedores de VPN que ofrecen estas aplicaciones pueden estar vinculados entre sí, aunque afirman ser entidades independientes y utilizan diversos medios para ocultar su verdadera identidad.
A partir de informes anteriores que vinculan a tres proveedores de VPN (que afirman tener su sede en Singapur) con un ciudadano chino, el análisis de Citizen Lab identificó conexiones adicionales entre sus aplicaciones y vinculó otras aplicaciones VPN con sus proveedores.
Las aplicaciones VPN que presentan vulnerabilidades de seguridad
De acuerdo con el reporte de Citizen Lab, ocho aplicaciones VPN de los proveedores Innovative Connecting, Autumn Breeze y Lemon Clove comparten código, dependencias y contraseñas codificadas, lo que podría permitir a los atacantes descifrar el tráfico de sus usuarios.
Las apps con problemas son:
- Turbo VPN
- Turbo VPN Lite
- VPN Monster
- VPN Proxy Master
- VPN Proxy Master Lite
- Snap VPN
- Robot VPN
- SuperNet VPN
La gravedad de este hallazgo radica en que estas apps tienen más de 380 millones de descargas combinadas en Google Play.
Las tres empresas, que previamente se había descubierto que tenían vínculos con Qihoo 360, una compañía china de ciberseguridad sancionada por Estados Unidos en 2020, ofrecen servicios de VPN en la capa de aplicación y se basan en el protocolo Shadowsocks, diseñado para eludir el Gran Cortafuegos de China.
¿Por qué los VPN de estas empresas son susceptibles de ataques?
Su protocolo utiliza cifrado simétrico y es susceptible a diversos ataques debido al uso de cifrados obsoletos y contraseñas predefinidas. Además, su interacción con el sistema de seguimiento de conexiones del sistema operativo permite a un atacante tomar el control de las conexiones
Las ocho aplicaciones son compatibles con los protocolos IPsec y Shadowsocks. Presentan importantes solapamientos de código e implementan mecanismos para engañar al análisis y a las comprobaciones de seguridad automatizadas.
Todas fueron susceptibles a interferencias de conexión e inyección de paquetes: recopilan información de la ubicación del usuario, utilizan un cifrado débil y contienen una contraseña predefinida para la configuración de Shadowsocks.
Utilizando la contraseña codificada, Citizen Lab descubrió que los tres proveedores de VPN que ofrecen estas aplicaciones comparten la misma infraestructura, lo que refuerza aún más la conexión entre ellos.
No serían los únicos proveedores susceptibles de ser vulnerados
Otro grupo de proveedores, Matrix Mobile PTE LTD, ForeRaya Technology Limited, Wildlook Tech PTE LTD, Hong Kong Silence Technology Limited y Yolo Mobile Technology Limited, podrían estar vinculados mediante el uso de los mismos protocolos, similitudes de código y ofuscación.
Sus clientes VPN, con más de 380 millones de descargas combinadas, fueron vulnerables a ataques de inferencia de conexión. Además, contienen contraseñas ofuscadas y se conectan al mismo conjunto de direcciones IP.
Otros dos proveedores, Fast Potato Pte. Ltd y Free Connected Limited, ofrecen clientes VPN que se basan en la misma implementación de protocolo propietario.
Según Citizen Lab, los problemas de seguridad y privacidad identificados en las aplicaciones analizadas tienen diferentes impactos en los usuarios, como la violación de la confianza y la privacidad a través de la recopilación de ubicación no revelada, la exposición a la interceptación y manipulación del tráfico.
Información de Security Week / Redacción Tecno Flash
No dejes de leer: Spotify lanzó Mix, la nueva función para mezclar canciones sin cortes
Usa la tecnología con inteligencia, únete a nuestras redes sociales hoy