Lượt xem: 1226 | Gửi lúc: 21/02/2017 14:23:39
Bookmark and Share

Phần lớn ứng dụng VPN trên Android không đáng tin cậy

Mới đây, một nghiên cứu toàn diện về các ứng dụng VPN trên Android (lấy từ kho ứng dụng chính thức Google Play) cho thấy, phần lớn trong số đó chưa thể tin tưởng hoàn toàn. Một số ứng dụng thậm chí còn không có tác dụng gì.



Theo thống kê trong tài liệu do các nhà nghiên cứu tại Commonwealth Scientific and Industrial Research Organization, Đại học New South Wales và đại học California công bố sau khi phân tích mã nguồn và theo dõi hành vi trên mạng của 283 ứng dụng VPN cho Androi, cho thấy:

- 18% ứng dụng không mã hoá dữ liệu, khiến người dùng dễ dàng bị tấn công kiểu Người đứng giữa khi kết nối với các mạng Wifi mở.

- 16% ứng dụng chèn mã vào các luồng dữ liệu gửi qua web của người dùng để thực hiện các mục đích khác nhau, chẳng hạn như chuyển mã hình ảnh để giúp tải các tệp ảnh nhanh hơn. Đặc biệt, có 2 ứng dụng chèn mã JavaScript để cung cấp quảng cáo và theo dõi hành vi của người dùng.

- 84% ứng dụng làm lộ thông tin trao đổi dựa trên giao thức IPv6, 66% làm lộ dữ liệu liên quan tới tên miền điều đó khiến cho người dùng có thể bị theo dõi và can thiệp.

- Trong số 67% ứng dụng VPN nêu rõ tính riêng tư như lợi ích của mình có 75% dùng tới các thư viện thứ ba để theo dõi hoạt động trực tuyến của người dùng. 82% ứng dụng yêu cầu người dùng cho phép truy cập các tài nguyên nhạy cảm như tài khoản và các tin nhắn của người dùng.

- 38% ứng dụng chứa đoạn mã được Virus Total, dịch vụ của Google tổng hợp tính năng dò quét của hơn 100 công cụ diệt virus, coi là độc hại.

- 4 ứng dụng cài chứng thực số để chặn và giải mã các thông tin mã hoá trao đổi giữa điện thoại và các website.

Tất nhiên, không phải tất cả các vấn đề nêu trong báo cáo đều là dấu hiệu của sự kém an toàn. Trong một số trường hợp, chúng chỉ ảnh hưởng tới tính ẩn danh chứ không cho phép kẻ xấu theo dõi hay sửa đổi thông tin trao đổi. Nhưng phần lớn các chuyên gia cho rằng, ít nhất thì các nhà phát triển VPN cần tránh mắc phải những vấn đề được nêu ở trên.

Một trong vài ứng dụng đáng được khen ngợi trong báo cáo là F-Secure Freedome VPN. Ứng dụng này chặn tất cả các luồng dữ liệu từ các tên miền theo dõi người dùng, trong đó có Google Ads, DoubleClick, Google Tag và comScore. Tuy nhiên, các nhà nghiên cứu cũng cho hay việc Freedome can thiệp và chặn JavaScript của nytimes.com làm ảnh hưởng đến việc nhúng video. Điều đó là nhược điểm duy nhất của phần mềm này. Đáng tiếc là phần mềm này có phí bản quyền tới 50 USD mỗi năm cho 3 thiết bị (có thể chạy trên cả Windows, MacOS và iOS).

Nghiên cứu được thực hiện trên các ứng dụng trong Google Play dùng tới quyền BIND_VPN_SERVICE (vào thời điểm tháng 11/2016). Các kết quả thu được chưa được thêm, xóa, sửa bất cứ điều gì từ thời điểm đó. Dù Google Play có thể đã thay đổi chúng trong hai tháng qua, nhưng kết quả nghiên cứu là một cảnh báo cho người dùng đang sử dụng ứng dụng VPN trên Android. Họ nên cân nhắc ngừng sử dụng các phần mềm VPN cho tới khi có kết quả đánh giá.

Nguyễn Anh Tuấn (theo Ars Technica)