Trong vòng 5 năm qua, lượng người dùng tìm đến các dịch vụ mạng riêng ảo (VPN) như 1 công cụ cần thiết để bảo vệ mình trước các cuộc tấn công của hacker, ngày càng tăng. Tuy nhiên, một nghiên cứu mới đây với gần 300 dịch vụ VPN cho thấy, phần lớn trong số chúng không hoàn toàn đáng tin cậy. Đáng chú ý, các ứng dụng này thu hút nhiều triệu người dùng Android tải về, và chúng có mặt trên kho ứng dụng chính thức Play Store của Google.
Cụ thể hơn, theo một nghiên cứu phân tích mã nguồn và cách thức hoạt động của 283 ứng dụng VPN cho Android thì:
18% trong số này không hề mã hóa traffic (lưu lượng mạng). Điều sẽ khiến người dùng dễ dàng bị các cuộc tấn công man-in-the-middle khi kết nối tới các điểm phát Wi-Fi hay các loại mạng không an toàn khác.
16% số ứng dụng VPN chèn mã vào traffic web của người dùng để thực hiện hàng loạt mục tiêu khác nhau, như chuyển mã hình ảnh. 2 trong số các ứng dụng trong cuộc nghiên cứu chèn mã JavaScript để phân phối quảng cáo và theo dõi thói quen của người dùng. JavaScript là một ngôn ngữ lập trình lớn và có thể dễ dàng bị sử dụng cho mục đích xấu.
84% số ứng dụng VPN làm rò rỉ traffic dựa trên giao thức internet IPv6, và 66% liên tục rò rỉ dữ liệu liên quan đến hệ thống tên miền dẫn tới nguy cơ dữ liệu người dùng bị theo dõi.
Nhiều sản phẩm VPN quảng cáo rằng sẽ cải thiện quyền riêng tư, nhưng lại sử dụng các thư viện theo dõi của bên thứ ba để theo dõi hoạt động online của người sử dụng. Nhiều ứng dụng đòi quyền truy cập các thông tin nhạy cảm, như thông tin tài khoản và tin nhắn.
38% số ứng dụng chứa mã bị công cụ VirusTotal của Google xác định là độc hại. VirusTotal là một công cụ mạnh mẽ có khả năng được đánh giá là tương đương hơn 100 công cụ diệt virus cộng lại.
4 ứng dụng cài các chứng chỉ số để rồi chặn và giải mã traffic TLS được gửi giữa smartphone và website được mã hóa.
Các ứng dụng VPN chặn và giải mã traffic TLS.
Các nhà nghiên cứu - đến từ Tổ chức Nghiên cứu Khoa học và Công nghiệp Liên bang Úc, trường đại học South Wales, và trường đại học California tại Berkeley - cho biết trong báo cáo:
Kết quả nghiên cứu của chúng tôi cho thấy, mặc dù hầu hết các ứng dụng VPN hứa hẹn bảo vệ quyền riêng tư, bảo mật, và giúp người dùng ẩn danh, thế nhưng trên thực tế hàng triệu người dùng có thể bị ảnh hưởng bởi sự bảo mật nghèo nàn và bị chính ứng dụng VPN lợi dụng. Dù ứng dụng VPN trên Android thu hút hàng triệu người dùng di động trên toàn thế giới, sự minh bạch hoạt động và tác động của chúng đối với sự riêng tư và bảo mật của người dùng vẫn rất mơ hồ - ngay cả với người dùng am hiểu công nghệ.
Các ứng dụng VPN không mã hóa.
Tuy nhiên, không phải mọi hành vi của ứng dụng VPN trong nghiên cứu đều bị xem là không bảo mật và không đảm bảo quyền riêng tư. Nhiều ứng dụng VPN trước đây từng bị tố làm rò rỉ traffic DNS và IPv6. Tuy nhiên, trong một số trường hợp, thiếu sót của chúng có thể chỉ là khiến người dùng không thể ẩn danh chứ không khiến người dùng bị hacker theo dõi. Dù vậy, hầu hết chuyên gia về bảo mật và quyền riêng tư đồng ý rằng, ít nhất, các nhà phát triển dịch vụ VPN không nên thực hiện các hành vi mà nghiên cứu ở trên chỉ ra.
Các ứng dụng VPN đi kèm tracker theo dõi.
Một trong số ít các ứng dụng mà các nhà nghiên cứu ca tụng chính là Freedome VPN, được phát triển bởi hãng bảo mật Phần Lan F-Secure. Đúng như những lời quảng cáo của nhà sản xuất, ứng dụng này khóa tất cả traffic từ một danh sách các trang được xác định trước, cũng như từ cá tên miền theo dõi, bao gồm Google Ads, DoubleClick, Google Tag, và comScore. Freedome có giá bản quyền 50 USD/năm, cho phép bạn dùng trên 3 thiết bị. Điều đó có nghĩa bên cạnh Android, bạn có thể chạy nó trên cả thiết bị Windows, MacOS hay iOS.
Các VPN bị công cụ VirusTotal của Google tố là có malware.
Nghiên cứu trên được thực hiện với các ứng dụng trên Google Play, tính đến tháng 11/2016, đã yêu cầu 1 quyền có tên BIND_VPN_SERVICE. Quyền này yêu cầu người dùng cho phép chúng được chặn và kiểm soát toàn bộ traffic trên smartphone hay tablet. Trong 2 tháng gần đây, nhiều ứng dụng trên Google Play đã thay đổi cách thức hoạt động để đảm bảo hơn quyền riêng tư người dùng. Dù vậy, khảo sát của nhóm chuyên gia trên cũng là lời cảnh tỉnh cho bất kỳ ai đang sử dụng ứng dụng VPN trên thiết bị Android của mình. Ngoại trừ Freedome, nếu đang dùng bất kỳ dịch vụ VPN nào khác trên Android, bạn nên loại bỏ hoặc ít nhất dừng nó ngay lập tức cho tới khi nhà cung cấp thay đổi cách thức hoạt động.