Nowe badanie przeprowadzone na Androidzie z aplikacjami VPN ujawnia rozszerzenie zasad dotyczących prywatności i bezpieczeństwa. Ekspert – Kevin Beaver, wyjaśnia jak profesjonaliści od IT mogą złagodzić te ryzyka.
Wraz z wymogami bezpieczeństwa powiązanymi z BYOD, zaawansowane złośliwe oprogramowanie, nieprzyjazne usługi IT oraz wiele innych napotkanych przez profesjonalistów ds. bezpieczeństwa sytuacji podczas ich pracy warunkuje występowanie wysokiego stopnia ryzyka. Do tego ryzyka zaliczane są aplikacje mobilne z VPN oraz niejasności dotyczące prywatności i bezpieczeństwa, które są tworzone dla użytkowników oraz dla celów biznesowych.
Nowa praca naukowa zatytułowana następująco: “Analiza Ryzyka Prywatności i Bezpieczeństwa Aplikacji na Androida z Dostępną Funkcją VPN,” poddała analizie kod źródłowy sieci komunikacyjne 283 mobilnych aplikacji z VPN, które korzystają z zezwolenia VPN na Androidzie. Rezultaty nie były tak dobre – jeśli cenisz sobie prywatność oraz bezpieczeństwo.
Badanie odkryło liczne przypadki wad dotyczących prywatności oraz bezpieczeństwa w tych aplikacjach – Android z VPN. Nawet Ci najbardziej niedowierzający środkom bezpieczeństwa zainteresowaliby się tym tematem. Odkryte wady są następujące:
- Śledzenie użytkownika przez trzecie osoby oraz biblioteki 75% aplikacji;
- Dostęp do wrażliwych uprawnień na Androida, takie jak poświadczenia użytkowników oraz wiadomości tekstowe, wymaganych przez 82% aplikacji;
- Złośliwe oprogramowanie obecne w 38% aplikacji, zgodnie z oszacowaniami VirusTotal;
- Zezwolenia na używanie VPN przez 4% aplikacji w celu wdrożenia pełnomocnictwa do localhost w celu przechwytywania i kontrolowania lokalnie ruchu użytkownika w sieci;
- Tunelowanie protokołów bez wdrożonego szyfrowania w 18% aplikacji, gdzie większa część z nich nie tuneluje IPv6 nazwy domeny systemu po którym porusza się użytkownik;
- Nieprzejrzyste pełnomocnictwo, które modyfikuje HTTP użytkownika (ruch po Stronach internetowych) wykorzystanych przez 16% aplikacji; i
- Źródło przechowywania danych użytkowników zagrożonych oraz warstwa transportowa przechwytywania aktywnie wykonywanego w 4 aplikacjach.
To doprowadza nas do pewnego pytania: Dlaczego te aplikacje z Androidem, które łączą się z VPN są tak niepewne? Najprostszą odpowiedzią jest to, iż po prostu takie są. W każdym bądź razie są to wady czy niedociągnięcia, które zostały zakodowane umyślnie w tych aplikacjach. Dokładnie celu tych działań się nie dowiemy. Tak jak powiedziałem komuś, kto zapytał mnie czy przypadkowy Metalsploit mógłby zostać wykryty – takie rzeczy nie dzieją się samoistnie.
Jedno jest pewne – pomijając system dialogów oraz powiadomień jaki Android wysyła swoim użytkownikom o ryzyku związanym z włączeniem funkcji VPN (zgoda na pozwolenie działania), “wielka frakcja użytkowników mobilnych może mieć zanotowany brak niezbędnego tła technicznego, na tyle, aby te uchybienia wpłynęły na niedostateczne doinformowanie.”
Według badań są to Ci sami użytkownicy, którzy zainstalowali 37% aplikacji, więcej niż 500,000 razy oraz ocenili 25% z nich na 4 gwiazdki. To właśnie powód dla którego mamy problem dotyczące bezpieczeństwa. Nadal tęsknimy za w pełni profesjonalnym podejściem co do spraw związanych z zapewnieniem bezpieczeństwa. Nadal wierzymy, że zjawi się perfekcyjne rozwiązanie opisywanych problemów. Obmyślana twórczość hakerskich wiadomości e-mail, na które dzisiaj natrafiamy lub pobieranie programów sięgających czasów BBS-ów – jeśli coś jest stworzone tak, że przedstawia się całkiem przyzwoicie i jest miłe dla oka i ucha, ludzie to przechwycą bez żadnego wzglądu.
Doświadczam tego ciągle w mojej pracy, szczególnie dotyczy to naiwności użytkowników, którzy zostali “wytrenowani” do identyfikacji, co ułatwia “pochwycenie ofiary” w celach oszustw.
Aplikacje takie jak Surfshark VPN na Androida sprawiają, że korzystanie z Internetu jest bardziej prywatne i bezpieczne. Możnaby poddać wątpliwości, iż aplikacja z funkcją VPN zapewnia więcej prywatności i jest znacznie bezpieczniejsza niż brak jakiejkolwiek ochrony. Jednakże, użytkownik mógłby spytać – kto właściwie zapewnia tę ochronę? Tak naprawdę mało osób wie kto stoi za obsługą tych aplikacji lub co dzieje się z naszymi danymi, które potencjalnie zostały zebrane w jedno miejsce od użytkowników.
Chociaż sieci VPN nie zapewniają pełnej ochrony Androida, kilka dodatkowych funkcji prywatności usług VPN zaufanych firm, takich jak Surfshark, usprawni Twoją cyfrową podróż.
Pracownicy firm pobierają oraz korzystają z tego typu mobilnych aplikacji i nie mają jakichkolwiek wątpliwości co do ich funkcjonowania. Te aplikacje okazjonalnie mają wgląd do referencji dotyczących danych logowania, które są później używane gdzieś między przedsiębiorstwami. Te aplikacje mogą mieć też wgląd do danych dotyczących miejscowości w jakiej się przebywa. Mogą mieć również całkowity dostęp do wysyłanych wiadomości e-mail oraz do plików transmitowanych, otrzymywanych oraz przechowywanych.
Przedstawiono ogólny zarys funkcjonowania aplikacji wyposażonych o funkcję VPN. Pytanie brzmi: “Co mogą zrobić profesjonaliści IT wobec tej sytuacji?” Niezależnie od upodobań strategii Twojej firmy BYOD, dopuszczalnych zasad użytkowania czy pozostałych aspektów dotyczących programu ochronnego, takowa informacja dotycząca bezpieczeństwa oraz zarządzania lub ochroną przed złośliwym oprogramowaniem – ten temat adresujemy zaczynając od dzisiaj.
Oczywistym jest to, iż będziesz skłonny omijać jakiekolwiek aplikacje, które mogłyby narazić Cię na pewne ryzyko w obrębie środowiska pośród którego się poruszasz. Będziesz musiał samodzielnie przeprowadzić własną weryfikację tych mobilnych aplikacji oraz w razie potrzeby, ujednolicić kilka z nich.
Narzędzia wyprodukowane przez sprzedawców takich jak NowSecure oraz Checkmarx w połączeniu z analizatorami sieci i pozostałymi funkcjami mogą zapewnić odpowiedni wgląd w kompletację lub nawet w uprawomocnienie tych najnowszych mobilnych aplikacji z połączeniem VPN.
Opcją alternatywną jest to, że specjaliści ds. bezpieczeństwa mogliby zachęcić użytkowników lub wprowadzić wymóg używania wydanych przez firmę z wbudowanym oprogramowaniem VPN lub nawet wręcz zablokować Androida całkowicie wraz z funkcją VPN na raz. Przydatnymi mogą się okazać również niektóre programy ochronne przed złośliwymi oprogramowaniami czy kontrolne urządzenia zarządzające. Nawet podstawowe przesłanki akceptowalnych zasad użytkowania odgrywają tu ważną rolę. Z nimi do czynienia będzie miało większość organizacji. Podczas gdy te wyzwania będą pozostawały pod stałą kontrolą, niepewnym jest czy zostaną rozwiązane.
