Ücretsiz 281 Android VPN Uygulaması İncelendi: Trafik Sızıntıları, Şifresiz Veri ve İzleme Tespit Edildi Yazılım

Ücretsiz 281 Android VPN Uygulaması İncelendi: Trafik Sızıntıları, Şifresiz Veri ve İzleme Tespit Edildi

281 ücretsiz Android VPN uygulaması üzerinde yapılan kapsamlı testler, çoğunun DNS sızıntısı, şifresiz veri iletimi ve izleyici yazılımlar içerdiğini

Araştırmacılar, Google Play Store'daki en popüler 281 ücretsiz VPN uygulamasını yeni bir test sistemiyle inceledi ve çoğunun, kullanıcıların VPN kurma amacı olan trafiği özel ve güvenli tutma konusunda temel düzeyde bile başarısız olduğunu tespit etti. En az bir sorun tespit edilen uygulamalar toplamda 2,4 milyardan fazla kez indirilmiş durumda. Sorunlar karmaşık değil, temel seviyede: 29 uygulama, hangi web sitelerini ziyaret ettiğinizi gösteren DNS sorguları dahil olmak üzere kullanıcı trafiğinin şifreli tünel dışına sızmasına izin veriyor. 61 uygulama ise verilerin bir kısmını düz metin olarak gönderiyor, bu da ağdaki herhangi bir gözlemcinin trafiği okumasına olanak tanıyor. Bunlardan beşi, uygulamanın yapılandırma dosyasını şifresiz olarak iletiyor ve bu da ağdaki bir saldırganın bağlantıyı kendi kontrol ettiği bir sunucuya yönlendirmesine imkan tanıyor.

MVPNalyzer adı verilen sistem, Michigan Üniversitesi, New Mexico Üniversitesi ve IIT Delhi'den araştırmacılar tarafından Şubat 2026'da NDSS güvenlik konferansında sunuldu. Bu sistem, aynı laboratuvarın masaüstü VPN yazılımları için geliştirdiği VPNalyzer çalışmasının mobil versiyonu olup, Android VPN uygulamalarını sistematik ve tekrarlanabilir şekilde denetlemek için oluşturulan ilk çerçeve olarak tanımlanıyor. VPN, trafiğinizi şifreli bir tünele sararak internet sağlayıcınızın veya ağdaki bir dinleyicinin ne yaptığınızı görmesini engeller. Ancak bu, güvenme ihtiyacını ortadan kaldırmaz, sadece güveni internet sağlayıcınızdan uygulama geliştiricisine taşır. Çalışma, bu uygulamaların bu güveni hak edip etmediğini sorguluyor ve çoğu için cevap olumsuz.

En ciddi kusur, tünel ele geçirme (tunnel hijacking) olarak adlandırılıyor. Beş uygulama, yapılandırma dosyasını şifresiz olarak indiriyor. Bu dosya, uygulamanın hangi sunucuya bağlanacağını belirtiyor. Düz metin olarak iletilmesi durumunda, aynı ağdaki bir saldırgan (örneğin bir halka açık Wi-Fi işletmecisi) bu dosyayı değiştirerek uygulamayı kendi kontrol ettiği bir sunucuya yönlendirebiliyor. Kullanıcı bağlandığında normal 'bağlandı' ekranını görüyor ancak tüm trafik saldırgan üzerinden geçiyor. Araştırmacılar bu saldırıyı gerçekleştirdi ve kontrolleri altındaki telefonlarda çalıştığını doğruladı. Etkilenen uygulamalar: BambooVPN (Turbo Fast VPN), VPN Pro, Free VPN, Hexa VPN ve 101 VPN. Araştırmacılar, kusuru öncelikli olarak bu beş uygulamaya bildirdi. BambooVPN ve VPN Pro yanıt vererek yapılandırma dosyalarını HTTPS'ye taşıma sözü verdi, ancak diğer üçü yanıt vermedi. Düzeltmeler düzensiz oldu; yeniden testlerde VPN Pro ve Hexa VPN'in dosyaları şifreli gönderdiği, ancak BambooVPN, Free VPN ve 101 VPN'in hâlâ tünel ele geçirmeye açık olduğu görüldü.

Sızıntılar ve hiçbir şeyi gizlemeyen uygulamalar da dikkat çekiyor. 29 uygulamadan 24'ü DNS trafiğini sızdırarak kullanıcıların ziyaret ettiği siteleri yerel ağa ifşa ediyor; bu uygulamalar yaklaşık 360 milyon kez indirilmiş. Altı uygulama, tam tarama trafiğini tünel dışına sızdırıyor, dört uygulama ise hiç şifreleme olmayan 'tüneller' çalıştırıyor. Ayrıca 169 uygulama, trafiklerini bir VPN'den başka bir şey olarak gizleme girişiminde bulunmuyor, bu da ağ operatörleri veya hükümet sansürcülerinin bunları temel araçlarla tespit edip engelleyebileceği anlamına geliyor. Bu uygulamaların neredeyse üçte ikisi, engellemeyi aştıklarını veya kısıtlı içeriğe erişim sağladıklarını reklam ediyor, ancak bu vaadi yerine getirmek için hiçbir şey yapmıyorlar. VPN kullanımının riskli olduğu ülkelerdeki kullanıcılar için, kolayca tanınabilir olmak, amaçlananın tam tersi.

Uzmanların Görüşleri

İzleme de yaygın bir sorun. Kullanıcılar genellikle izlenmeyi önlemek için VPN kurar, ancak bu uygulamaların çoğu yine de izleme yapıyor. 76 uygulama, reklamcıların bir kişiyi uygulamadan uygulamaya takip etmek için kullandığı benzersiz bir kod olan Reklam Kimliği'ni (Advertising ID) gönderiyor. Çalışma, uygulamaların %80'inden fazlasının (246) bilinen reklam ve izleme sunucularıyla iletişime geçtiğini tespit etti. Birçoğu ayrıca telefon modeli, işletim sistemi sürümü ve ekran boyutu gibi detayları da gönderiyor. Bunlar tek başına zararsız görünse de, birleştiğinde tek bir cihazı ayırt edebilecek bir 'parmak izi' oluşturuyor. Hatta bir uygulama, telefonun tam GPS koordinatlarını bile göndermiş.

Nasıl Önlem Alınmalı?

Zayıf yapılandırmalar da cabası. Araştırmacılar, 108 uygulamayla birlikte gelen OpenVPN yapılandırma dosyalarını inceledi ve sadece birinin tüm güvenlik en iyi uygulamalarını takip ettiğini buldu. Yaklaşık %89'u, iki yöntemi birleştirmek yerine tek bir kimlik doğrulama yöntemine (parola veya sertifika) güveniyor. Neredeyse beşte biri, eskiyen Blowfish şifresi ve üçlü DES dahil olmak üzere zayıf veya güncel olmayan şifreleme kullanıyor. Birkaçı, tünelin veri şifresini 'none' olarak ayarlayarak şifrelemeyi tamamen kapatıyor. Bu eski şifreler, uzun süreli bağlantılardan veri kurtarmaya izin veren bilinen güvenlik açıklarına (CVE-2016-6329 ve CVE-2016-2183) sahip. Sorunların çoğu aynı kökene dayanıyor: uygulamalar bakımsız ve Play Store'un otomatik kontrolleri bunları geçiriyor. Birçoğu, Google'ın güvenlik etiketleri ve VPN uygulamaları için 'Doğrulanmış' rozetinin güven sinyali vermesi gereken en üst arama sonuçlarında yer alıyor. Google, konuyla ilgili olarak uygulama politikalarını uyguladığını ve 'bir uygulamanın politikalarını ihlal ettiğini tespit edersek uygun işlemi yapacağını' belirtti.

Kaynak: thehackernews.com

Paylaş: