Cảnh báo: VPN Android tiềm ẩn vấn đề nghiêm trọng về bảo mật

Cảnh báo: VPN Android tiềm ẩn vấn đề nghiêm trọng về bảo mật

Nghiên cứu bảo mật mới đây đã phát hiện các vấn đề nghiêm trọng về quyền riêng tư và bảo mật trong 281 ứng dụng VPN Android phổ biến có sẵn trên Google Play Store. Các ứng dụng này, khi hoạt động không an toàn, có thể gây ra rủi ro bảo mật đáng kể cho hàng triệu người dùng.

Phát hiện lỗ hổng trong các ứng dụng VPN Android

Các nhà nghiên cứu đã phát triển một khuôn khổ có tên là MVPNalyzer để kiểm tra cách các ứng dụng VPN Android xử lý lưu lượng mạng, tệp cấu hình và dữ liệu người dùng. VPN đóng vai trò quan trọng trên điện thoại thông minh vì chúng có khả năng chặn và định tuyến lưu lượng từ các ứng dụng khác.

Người dùng thường cài đặt VPN để tránh bị giám sát, vượt qua kiểm duyệt hoặc bảo vệ hoạt động trên các mạng Wi-Fi không đáng tin cậy. Tuy nhiên, nghiên cứu chỉ ra rằng nhiều ứng dụng VPN miễn phí không cung cấp các biện pháp bảo vệ cơ bản.

Phương pháp nghiên cứu

Đội ngũ nghiên cứu đã thử nghiệm 281 ứng dụng VPN miễn phí hoạt động được thu thập từ kết quả tìm kiếm trên Google Play và danh mục VPN Proxy & Tools. Các ứng dụng bị ảnh hưởng này có tổng cộng hàng tỷ lượt cài đặt, cho thấy hành vi không an toàn của VPN có thể ảnh hưởng đến một số lượng lớn người dùng.

Các loại lỗ hổng được phát hiện

Truyền dữ liệu không mã hóa

Vấn đề đáng lo ngại nhất liên quan đến giao tiếp không mã hóa. Nghiên cứu phát hiện 61 ứng dụng VPN truyền dữ liệu văn bản thuần (cleartext data) thông qua 10.552 luồng dữ liệu được quan sát. Dữ liệu này bao gồm nội dung web, JavaScript, tệp JSON và các tài nguyên liên quan đến VPN.

Một kẻ tấn công mạng có vị trí giữa người dùng và kết nối internet có thể đọc hoặc sửa đổi lưu lượng truy cập này, gây ra nguy cơ bảo mật tiềm ẩn.

Rò rỉ tệp cấu hình VPN

Năm ứng dụng truyền tệp cấu hình VPN qua các kết nối không mã hóa. Các tệp này hướng dẫn ứng dụng khách (client) cách kết nối với máy chủ VPN. Nếu một kẻ tấn công sửa đổi tệp cấu hình trong quá trình truyền tải, chúng có thể chuyển hướng nạn nhân đến một máy chủ VPN do kẻ tấn công kiểm soát và có khả năng chặn lưu lượng truy cập internet của họ.

Rò rỉ lưu lượng truy cập ngoài đường hầm VPN

Theo báo cáo từ NDSS Symposium, các nhà nghiên cứu đã chứng minh việc chiếm quyền điều khiển đường hầm (tunnel hijacking) trên các thiết bị được kiểm soát và phát hiện các sự cố rò rỉ lưu lượng truy cập trong 29 ứng dụng VPN. Cụ thể:

  • Hai mươi bốn ứng dụng rò rỉ yêu cầu DNS bên ngoài đường hầm được mã hóa, làm lộ các tên miền mà người dùng cố gắng truy cập.
  • Sáu ứng dụng rò rỉ lưu lượng truy cập trình duyệt.
  • Bốn ứng dụng sử dụng đường hầm không mã hóa, làm lộ các tên miền đã truy cập trong các gói mạng.

Những sai sót này làm suy yếu mục đích chính của VPN, đó là ngăn chặn các mạng cục bộ, nhà cung cấp internet và các bên quan sát trên đường truyền xem hoạt động của người dùng. Đây là một mối đe dọa mạng nghiêm trọng đến quyền riêng tư.

Các vấn đề về quyền riêng tư và theo dõi

Các mối quan ngại về quyền riêng tư cũng lan rộng. Các nhà nghiên cứu xác định 246 ứng dụng liên hệ với các URL quảng cáo hoặc theo dõi. Ngoài ra, 76 ứng dụng truyền Android Advertising IDs, có thể được sử dụng để theo dõi liên tục trên nhiều ứng dụng.

Nhiều ứng dụng cũng tiết lộ chi tiết thiết bị như mẫu mã, phiên bản hệ điều hành, cấp độ API, ngôn ngữ, thông tin màn hình, quốc gia và địa chỉ IP. Kết hợp lại, các chi tiết này có thể giúp nhà quảng cáo xây dựng một hồ sơ thiết bị (device fingerprint).

Cấu hình OpenVPN yếu kém

Nghiên cứu cũng xác định các thực hành cấu hình VPN yếu kém. Trong số 108 ứng dụng chứa các tệp cấu hình OpenVPN, chỉ có một ứng dụng đáp ứng tất cả các phương pháp bảo mật được đánh giá. 107 ứng dụng còn lại cho thấy ít nhất một vấn đề, bao gồm:

  • Mật mã yếu.
  • Xác thực yếu.
  • Chỉ thị lỗi thời.
  • Thiếu cài đặt bảo mật được thiết kế để ngăn chặn mạo danh máy chủ và các cuộc tấn công kênh điều khiển.

Việc áp dụng các cấu hình yếu kém này tạo ra các lỗ hổng CVE tiềm ẩn mà kẻ tấn công có thể khai thác.

Khuyến nghị và Biện pháp phòng ngừa

Người dùng nên thận trọng với các dịch vụ VPN miễn phí, đặc biệt khi chúng đưa ra các tuyên bố mạnh mẽ về quyền riêng tư hoặc khả năng vượt qua kiểm duyệt. Trước khi cài đặt VPN, người dùng nên xem xét:

  • Uy tín của nhà phát triển.
  • Chính sách quyền riêng tư.
  • Các cuộc kiểm toán độc lập.
  • Lịch sử cập nhật bảo mật.

Những phát hiện này cũng nhấn mạnh sự cần thiết của việc thực thi mạnh mẽ hơn từ các cửa hàng ứng dụng và việc kiểm toán độc lập liên tục đối với các nhà cung cấp VPN di động. Nâng cao nhận thức về tin tức bảo mật là bước đầu tiên quan trọng.

Một nguồn thông tin hữu ích về các tiêu chuẩn và biện pháp bảo mật có thể tham khảo tại trang web của CISA: Cybersecurity Best Practices.