in

Vulnerabilidades em VPNs grátis para Android colocam em risco mais de 120 milhões de usuários

Apenas um aplicativo, o Best Ultimate VPN, resolveu o problema e corrigiu os erros.

VPNs inseguras vazam 1,2 TB de dados de milhões de usuários
Os dados expostos incluem senhas, endereços IP, tokens de sessão VPN, o sistema operacional usado e muito mais. O aplicativo VPN gratuito possui mais de 10 milhões de downloads na Play Store. Imagem: Latest Hacking News.

Pesquisadores da VPNPro descobriram várias vulnerabilidades em muitas VPNs grátis para Android. O mais crítico de todos é o aplicativo SuperVPN que também possui a base de usuários mais extensa. O aplicativo possui mais de 100.000.000 de instalações na Google Play Store, colocando em risco a segurança de 100 milhões de usuários.

Vulnerabilidades em VPNs grátis colocam em risco usuários do Android

Ao elaborar suas descobertas em uma postagem de blog, os pesquisadores afirmaram que o aplicativo SuperVPN Free VPN Client tem múltiplas vulnerabilidades críticas. A exploração dessas vulnerabilidades desencadeia ataques MiTM, expondo os dados transmitidos pela VPN aos atacantes.

Destacando as possíveis consequências e riscos para os usuários do SuperVPN Free VPN Client, os pesquisadores afirmam:

Agora, mais de 105 milhões de pessoas podem ter seus dados de cartão de crédito roubados, suas fotos e vídeos particulares vazados ou vendidos on-line e ter cada minuto de suas conversas particulares gravadas e enviadas para um servidor em um local secreto. Eles poderiam estar navegando em um site falso e mal-intencionado, criado pelo hacker e auxiliado por esses aplicativos de VPN perigosos.

Além disso, de acordo com os pesquisadores, o aplicativo menciona a SuperSoftTech, uma empresa de Cingapura, como desenvolvedor. Por outro lado, ele pertence a um desenvolvedor chinês independente chamado Jinrong Zheng.

Ao analisar os detalhes do aplicativo, a LHN notou que sua Política de Privacidade aponta para a Tutela Technologies. Eles mencionaram claramente em sua Carta de Privacidade que seu software é executado na parte de trás de vários aplicativos para coletar dados (excluindo detalhes pessoais).

Outros aplicativos VPN gratuitos e vulneráveis

Ao lado do SuperVPN Free VPN Client, os pesquisadores também encontraram 9 outros aplicativos de VPN exibindo uma ou mais vulnerabilidades. Em relação a estas falhas, os pesquisadores declararam brevemente:

2 aplicativos usam chaves criptográficas codificadas e 10 aplicativos estão faltando criptografia de dados confidenciais. Dois desses aplicativos sofrem de ambas as vulnerabilidades… Alguns aplicativos têm suas chaves de criptografia embutidas no aplicativo.

Na imagem abaixo está a lista de todos os aplicativos vulneráveis analisados pelos pesquisadores.

Vulnerabilidades em VPNs grátis para Android colocam em risco mais de 120 milhões de usuários
Crédito da imagem: VPNPro.

No total, esses aplicativos juntos ameaçam a segurança de mais de 120 milhões de usuários. Ainda assim, o que os torna mais suspeitos é sua negligência em relação às solicitações dos pesquisadores.

Depois de descobrir as falhas, os pesquisadores informaram todos os 10 aplicativos sobre suas descobertas. No entanto, apenas um aplicativo, o Best Ultimate VPN, resolveu o problema e corrigiu os erros. Os outros aplicativos não responderam.

Além disso, embora o Google tenha removido recentemente alguns aplicativos de VPN inseguros da Play Store, os pesquisadores ainda aconselham os usuários a permanecer cuidadosos.

Por fim, se você instalou algum desses aplicativos vulneráveis de VPN, considere alternativas.

Fonte: Latest Hacking News

Escrito por Leonardo Santana

Profissional da área de manutenção e redes, astrônomo amador, eletrotécnico e apaixonado por TI desde o século passado.