Δεν προστατεύουν όλες οι premium υπηρεσίες VPN εξίσου το απόρρητό σας, καθώς περισσότερες από τις μισές από τις πιο δημοφιλείς υπηρεσίες υφίστανται κάποια μορφή διαρροής δεδομένων. Τουλάχιστον τρεις εφαρμογές μοιράστηκαν επίσης τα προσωπικά σας στοιχεία “με τρόπο που θέτουν σε κίνδυνο το απόρρητο των χρηστών”.
Αυτά είναι τα κύρια ευρήματα από νέα έρευνα που πραγματοποιήθηκε από το Top10VPN με βάση τους 30 πιο δημοφιλείς παρόχους premium για συσκευές Android. Αυτές περιλαμβάνουν μερικές από τις καλύτερες εφαρμογές VPN στην αγορά, όπως NordVPN, ExpressVPN, Proton VPN και Surfshark.
“Δεν θέλω να υπερβάλλω το επίπεδο κινδύνου. Για τους περισσότερους χρήστες, είναι αρκετά χαμηλό, αλλά εξαρτάται από το μοντέλο απειλής σας”, είπε ο Simon Migliano, Επικεφαλής Έρευνας στο Top10VPN, στο TechRadar, σημειώνοντας το Avira Phantom VPN και το FastestVPN όπως τα πληρωμένα Android VPN να αποφεύγουν «απολύτως».
Το απόρρητο των εφαρμογών VPN επί πληρωμή για Android αποτυγχάνει
Όπως αναφέρθηκε, ο Migliano πραγματοποίησε δοκιμές στα 30 πιο δημοφιλή επί πληρωμή VPN VPN για να εντοπίσει πιθανά ζητήματα ασφάλειας εντός των εφαρμογών – μπορείτε να βρείτε το πλήρης κατάλογος των υπηρεσιών που αναλύονται εδώ.
Αυτές οι δοκιμές επικεντρώθηκαν σε διαφορετικούς τομείς, δηλαδή σε διαρροές DNS και άλλων δεδομένων, κρυπτογράφηση VPN, σταθερότητα σήραγγας VPN, επικίνδυνες άδειες εφαρμογών, επικίνδυνη χρήση λειτουργιών υλικού συσκευής και συλλογή και κοινή χρήση δεδομένων.
Το πιο εκπληκτικό αποτέλεσμα για το Migliano ήταν ότι τα μισά από τα καλύτερα επί πληρωμή VPN που δοκιμάστηκαν (15) απέτυχαν να διασφαλίσουν ότι το SNI (Ένδειξη ονόματος διακομιστή) ήταν κρυπτογραφημένο για όλες τις συνδέσεις διακομιστή που πραγματοποιούν οι εφαρμογές. Το SNI είναι μια επέκταση του πρωτοκόλλου TLS που χρειάζεται ένας πελάτης για να υποδείξει το όνομα κεντρικού υπολογιστή του διακομιστή στον οποίο προσπαθεί να συνδεθεί κατά τη διαδικασία χειραψίας.
Αν και αυτή η διαρροή μπορεί να είναι σχετικά μικρή για τους περισσότερους ανθρώπους, “Είναι μια παράβλεψη που θα μπορούσε να φέρει κάποιον σε μπελάδες με το σχολείο ή τον χώρο εργασίας του, εάν τα VPN δεν επιτρέπονται στο δίκτυο ή ακόμη και σε νομικά προβλήματα κάπου όπως η Τουρκία ή η Κίνα, όπου τα VPN υπό αυστηρή ρύθμιση», πρόσθεσε.
Σύμφωνα με τα δεδομένα του Migliano, το Surfshark, η Private Internet Access (PIA) και το PrivadoVPN ήταν μερικές από τις εφαρμογές που εξακολουθούν να παραβλέπουν την κρυπτογράφηση SNI.
Το ήξερες;
Ένα εικονικό ιδιωτικό δίκτυο (VPN) είναι λογισμικό ασφαλείας που κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο για να αποτρέψει τρίτα μέρη από την πρόσβαση στα δεδομένα σας κατά τη μεταφορά και την κατασκοπεία των διαδικτυακών σας δραστηριοτήτων. Ταυτόχρονα, πλαστογραφεί επίσης την τοποθεσία της πραγματικής διεύθυνσης IP σας για μέγιστη ανωνυμία, παρέχοντάς σας πρόσβαση σε κατά τα άλλα γεωγραφικά περιορισμένα περιεχόμενο.
Τουλάχιστον επτά VPN VPN διέρρευσαν επίσης αιτήματα DNS – που σημαίνει το αίτημα της συσκευής σε έναν διακομιστή συστήματος ονομάτων τομέα για παροχή διεύθυνσης IP για ένα συγκεκριμένο όνομα κεντρικού υπολογιστή.
Και πάλι, αυτές οι διαρροές δεδομένων δεν είναι κρίσιμες και συμβαίνουν μόνο υπό πολύ συγκεκριμένες συνθήκες, επομένως δεν θα είναι μεγάλο πρόβλημα για τους περισσότερους χρήστες. Τούτου λεχθέντος, ο Migliano πιστεύει ότι “ένα σωστά διαμορφωμένο VPN θα πρέπει να τερματίσει όλες τις υπάρχουσες συνδέσεις δικτύου για να αποτρέψει αυτό το ενδεχόμενο”.
Αυτός είναι ο λόγος για τον οποίο, εάν η ιδιωτική περιήγηση είναι ζωτικής σημασίας για εσάς, προτείνει να αποφύγετε τα VPN που επηρεάζονται από αυτό το ζήτημα, δηλαδή τα HMA!, Private VPN, Mozilla VPN, Privado, VyprVPN, X-VPN και Avira Phantom.
Το FastestVPN ήταν ένα άλλο μεγάλο όχι για τον Migliano σε αυτό το μέτωπο. Είπε: “Δεν θα μπορούσα ποτέ να προτείνω το FastestVPN αφού εξέθεσε τη διεύθυνση email μου με σαφές κείμενο στις κεφαλίδες ενός αιτήματος διακομιστή σε ένα API γεωγραφικής τοποθεσίας, το οποίο είναι ασυγχώρητο.”
Αν και πολύ καλύτερα από τις δωρεάν εφαρμογές VPN, η συλλογή και η κοινή χρήση δεδομένων μπορεί επίσης να είναι ένα πρόβλημα για ορισμένους παρόχους. Ο Migliano βρήκε επτά από τις 30 εφαρμογές που αναλύθηκαν για να θέτουν δυνητικό κίνδυνο απορρήτου λόγω του ενσωματωμένου κώδικα παρακολούθησης από διαφημιστές και μεσίτες δεδομένων. Ωστόσο, μόνο δύο VPN (VPN Unlimited και Hotspot Shield) κρίθηκαν ένοχοι για κοινή χρήση δεδομένων στην πράξη, ενώ το X-VPN χρησιμοποιούσε κακές πρακτικές κοινής χρήσης δεδομένων.
Η κρυπτογράφηση VPN για υπηρεσίες επί πληρωμή ήταν καλή συνολικά. Ωστόσο, ενώ επτά εφαρμογές απέτυχαν να χρησιμοποιήσουν την πιο πρόσφατη έκδοση του TLS για να δημιουργήσουν τη σήραγγα VPN (AES-256), η Avira Phantom έκανε χρήση του καταργημένου πρωτοκόλλου SSLv2, το οποίο, σημείωσε ο Migliano, θεωρείται από καιρό ανασφαλές.
