شبكات VPN المجانية تعرض خصوصية ملايين الأشخاص للخطر

  • تكشف الأبحاث المستقلة عن عيوب خطيرة وغموض في العديد من شبكات VPN المجانية لنظامي التشغيل iOS وAndroid.
  • تؤدي الأذونات المسيئة والتشفير الضعيف والمكتبات القديمة إلى تعريض البيانات للاختراقات وهجمات MITM.
  • وتشمل الحالات الأخيرة تطبيقات معيبة تم تنزيلها أكثر من 100 مليون مرة وحملات برامج ضارة مقنعة على أنها شبكات VPN.
  • لتقليل المخاطر: تجنب شبكات VPN المجانية، وتحقق من عمليات تدقيق عدم الاحتفاظ بالسجلات، والأذونات، وبروتوكولات الأمان.
anavarro

6 دقيقة

مخاطر شبكات VPN المجانية

أصبحت الشبكات الافتراضية الخاصة خيارًا شائعًا للعديد من المستخدمين لإخفاء عنوان IP الخاص بهم وتجاوز الحجب الجغرافي، ولكن عندما تكون الخدمة مجانية، غالبًا ما يكون ثمنها بيانات. تشير العديد من التحليلات الحديثة إلى أن شبكات VPN المجانية قد تعرض الخصوصية للخطر وسلامة الأشخاص الذين يقومون بتركيبها، في كثير من الأحيان دون أن يكونوا على علم بذلك.

المشكلة ليست معزولة ولا بسيطة: لقد تم اكتشافها الأعطال الفنية ونماذج الأعمال غير الشفافة والأذونات المتطفلة قد يؤثر على ملايين الأشخاص. يحذر خبراء الأمن السيبراني من أن "المجاني" يُموّل بـ جمع المعلومات واستغلالهاأو عمليات تكامل إعلانية عدوانية أو حتى ممارسات أكثر خطورة.

ما اكتشفه الباحثون

الخصوصية وشبكة VPN المجانية

قام تقرير فني من Zimperium zLabs بفحص ما يقرب من 800 تطبيق VPN الهواتف المحمولة، مقسمة بالتساوي بين iOS وAndroid، ووجدت نمطًا متكررًا: الخصوصية الضعيفة والأذونات غير الضرورية والرمز الذي يحتوي على نقاط ضعف معروفة.

وتشمل النتائج أن 25% من شبكات VPN الخاصة بنظام iOS تفتقر إلى سياسة خصوصية صالحة وأن حوالي 6% يطلبون أذونات خاصة لا ينبغي لهم استخدامها. بالإضافة إلى ذلك، وُجد أن الإصدارات القديمة من OpenSSL تتأثر بـ هارتبليد (CVE-2014-0160) وحالات التحقق غير الصحيحة من الشهادات، والتي تفتح الباب أمام هجمات الرجل في المنتصف (MITM).

يتجاوز التأثير الاستخدام الشخصي: في بيئات العمل التي تحتوي على أجهزة شخصية، يمكن أن تصبح شبكات VPN التي لا تتم صيانتها بشكل جيد هي حلقة ضعيفة في أمن الشركات (BYOD)، مما يعرض البيانات الحساسة للخطر بسبب ضعف النظافة في التطوير والصيانة.

وبالتوازي مع ذلك، قام تقرير شفافية VPN الصادر عن صندوق التكنولوجيا المفتوحة بتحليل 32 من مقدمي الخدمات التجارية واكتشف مشاكل خطيرة في الخدمات الشائعة مثل TurboVPN، VPN Proxy Master، XY VPN أو 3X VPN – تصفح سلس، بعضها بأكثر من 100 مليون التنزيلاتومن بين الممارسات التي تم الإبلاغ عنها، استخدام تقنيات مثل Shadowsocks تم تقديمه على أنه تشفير قوي، على الرغم من عدم تصميمه لهذا الغرض.

ويؤكد خبراء كاسبرسكي أن العديد من شبكات VPN المجانية تعمل كـ "طُعم" لجذب المستخدمين الموثوق بهم: قد يكون وراء ذلك أي شيء بدءًا من تحقيق الدخل الضخم من البيانات إلى استغلال الأجهزة في شبكات الروبوتات، كما هو موثق في الحوادث السابقة.

الممارسات الشائعة في شبكات VPN المجانية

الأمان في شبكات VPN المجانية

  • الأذونات المفرطة: على نظام Android، تتيح الطلبات مثل READ_LOGS أو AUTHENTICATE_ACCOUNTS الوصول إلى سجلات النظام وإدارة الحساب؛ أما على نظام iOS، فيتم رؤية الموقع الجغرافي في الخلفية الوصول إلى الشبكة المحلية بدون مبرر واضح.
  • تسجيل وبيع البيانات: يعتمد النموذج "المجاني وغير المحدود" عادةً على القياس عن بعد، المتتبعات والاتفاقيات مع أطراف ثالثة لتحقيق الربح من حركة المرور أو حتى عرض النطاق الترددي المستعمل.
  • التشفير الضعيف أو المحاكى: المكتبات القديمة (OpenSSL المعرضة للخطر) و التحقق من صحة الشهادات ضعيف السماح بهجمات MITM والتسريبات.
  • الغموض القانوني: سياسات الخصوصية غير المكتملة أو الغائبة وعدم وجود المراجعات الخارجية للتحقق من الوعود مثل سياسة عدم الاحتفاظ بالسجلات.

في بعض الحالات محاولات الاستخدام الأذونات الخاصة على نظام iOS، وصول عميق إلى وظائف النظام التي تتجاوز واجهات برمجة التطبيقات العامة. مع أن النظام لا يمنحها دائمًا، فإن مجرد الطلب هو بالفعل إشارة إنذار.

حالات وأرقام مثيرة للقلق

دراسات حول شبكات VPN المجانية

أظهر استطلاع رأي حديث أجرته شركة NordVPN في المملكة المتحدة يشير إلى أن 12٪ من المستخدمين تستمر في الاعتماد على الخدمات المجانية، على الرغم من حقيقة أن المستوى العام للمعرفة حول شبكات VPN يبلغ حوالي 80%ومن بين الأسباب التوفير والبحث عن حلول سريعة لاحتياجات محددة.

ويشير المتخصصون إلى المخاطر الإضافية: الموردون الذين العلاقات بين الدول بروتوكولات ضعيفة ومعتمة تجعل المستخدمين غير قادرين على الشراء شبكة واي فاي عامة وتقييمات متجر التطبيقات التي تُعطي الأولوية لسهولة الاستخدام على ضمانات الخصوصية. عندما يُوعد "مجاني وغير محدود"إن الواقع عادة ما يكون استثمار البيانات، إعادة بيع النطاق الترددي أو البيع الإضافي العدواني.

وقد وثقت العديد من التحليلات الفنية استخدام مكتبات الطرف الثالث القديمة، بما في ذلك الوجود المتبقي لـ Heartbleed وقضايا تثبيت الشهادة تُسهّل هجمات MITM. هذه عيوب أساسية لا ينبغي أن تستمر في البرامج المصممة لحماية الاتصالات.

يضاف إلى ذلك حالة Mobdro Pro IP TV + VPN، وهو تطبيق تم تداوله خارج متجر Google Play وعمل كمثبت لفيروس حصان طروادة المصرفي كلوباترا. ومن خلال الهندسة الاجتماعية، حصل المهاجمون على أذونات من خدمات إمكانية الوصول للسيطرة على الجهاز وسرقة بيانات الاعتماد وتشغيل الحسابات؛ وقد تم توثيق ذلك منذ فترة طويلة 3.000 إصابة واستخدام شبكتين من الروبوتات لنشرها.

مخاطر إضافية على Android وiOS

المخاطر على iOS وAndroid مع VPN المجانية

على نظام Android، يطلب بعض عملاء VPN قراءة السجلات (قراءة السجلات) و مصادقة الحسابات (إدارة الحسابات والرموز). أذونات كهذه قد تفتح الباب أمام تسريبات البيانات الحساسة خريطة تفصيلية لنشاط المستخدم. التحميل الجانبي كما أنه يزيد من التعرض للحملات الضارة.

على نظام التشغيل iOS، تمت ملاحظة الطلبات لـ موقع ثابت والوصول إلى الشبكة المحلية التي تسمح لك بمسح الأجهزة القريبة بصمت. ويزيد من هذه المشكلة انعدام الشفافية: بعض التطبيقات التي تم تحليلها لم يتضمن بيان الخصوصية المناسب، مما يمنع الموافقة المستنيرة.

التحقق غير الصحيح من الشهادة وعدم وجودها تثبيت الشهادة يُسهّل النقد هجمات الوسيط، مما يُحوّل ما يُفترض أنه "اتصال آمن" إلى قناة ضعيفة. وإذا أضفنا إلى ذلك رمز تشفير قديم، يتضاعف الخطر.

بالنسبة للشركات التي تتبع سياسات BYOD، يمكن أن تكون شبكة VPN الضعيفة بمثابة المخاطر التشغيلية: : لا يتطلب الأمر سوى عميل واحد ضعيف لكشف بيانات الاعتماد أو الاتصالات أو البيانات الخاصة بالشركة.

توصيات للتنقل بحكمة

كيفية اختيار شبكات VPN الآمنة

النمط العام للخبراء واضح: تجنب شبكات VPN المجانيةهناك استثناءات نادرة في عمليات التدقيق العامة، لكنها ليست القاعدة. لتقليل المخاطر، يُنصح باختيار خدمات ذات... سياسة عدم الاحتفاظ بالسجلات المدققةوالشفافية القانونية والمراجعة المستقلة.

  • التحقق من عمليات التدقيق والاختصاص القضائي: اطلب التحقق الخارجي من عدم الاحتفاظ بالسجلات، ونشر سياسات واضحة للمسؤولية القانونية والاحتفاظ بالبيانات.
  • التحقق من الأذونات قبل القبول: وتنفي تحديد الموقع الجغرافي في الخلفية والوصول إلى الشبكة المحلية إذا لم تكن مُبررة. احذر من الطلبات التي لا تُعدّ غرضًا لشبكة VPN.
  • اطلب التشفير الحديث: يعطي الأولوية للبروتوكولات مثل WireGuard أو OpenVPN وتجنب "الوكلاء" الذين يتم بيعهم على أنهم تشفير.
  • التثبيت فقط من المتاجر الرسمية: تجنب المصادر غير الموثوقة وقراءة سياسة الخصوصية بالتفصيل؛ ابحث عن الأوراق البيضاء والمراجعات المستقلة.
  • قم بتكوين التطبيق بشكل صحيح: قم بتنشيط مفتاح القتل الخاص بك وDNS، وقم بتحديد القياس عن بعد واحتفظ بالعميل تحديث.

لا تترك الأدلة المتراكمة مجالًا كبيرًا للشك: فعندما تعد إحدى الخدمات بالحماية دون أي تكلفة، فإن الدفع الفعلي غالبًا ما يكون معلوماتكبين الثغرات التقنية والسياسات الغامضة والأذونات المسيئة، يمكن لشبكات VPN المجانية أن تعرض ملايين الأشخاص للخطر؛ لذا فإن تثقيف نفسك ومراجعة كل إذن واختيار مقدمي خدمات خاضعين للتدقيق وشفافين هي أفضل طريقة لحماية نفسك. حماية خصوصيتك لا مفاجآت.

مخاطر استخدام شبكات الواي فاي العامة
المادة ذات الصلة:
مخاطر استخدام شبكات Wi-Fi العامة: كيفية حماية جهاز Mac الخاص بك