داستان پس زمینه

در سال 2020، گوگل حذف شد برنامه امنیتی «خطرناک» SuperVPN از فروشگاه Play خود به دنبال هشدارهایی درباره آسیب‌پذیری‌های جدی که کاربران را در معرض حملات انسان میانی قرار می‌دهد. علیرغم اینکه این خطرات در سال 2016 برجسته شدند، برنامه از 10000 به بیش از 100 میلیون بار در زمان حذف افزایش یافت.

هشدارهای امنیتی ترافیک HTTP رمزگذاری نشده، کلیدهای رمزگذاری سخت و محموله های رمزگذاری نشده را نشان می دهد که منجر به رهگیری احتمالی ارتباطات و هدایت مجدد به سرورهای مخرب می شود. اگرچه SuperSoftTech، توسعه‌دهنده چینی این برنامه، در هیچ حمله‌ای به داده‌ها دخیل نبود، آسیب‌پذیری‌های مداوم آن را به یک هدف قابل بهره‌برداری تبدیل کرد. همچنان به کاربران این برنامه توصیه می شود که فوراً آن را حذف نصب کنند.

حادثه اخیر نشت اطلاعات

در ماه مه 2023، جرمیا فاولر، محقق امنیت سایبری افشا شد نقض قابل توجه داده مرتبط با SuperVPN. او تحقیقات کاملی انجام داد و یک پایگاه داده بدون رمز عبور مربوط به سرویس رایگان محبوب VPN را کشف کرد.

این پایگاه داده در دسترس عموم شامل بیش از 360 میلیون رکورد حاوی اطلاعات حساس کاربر مانند آدرس ایمیل و IP، جزئیات خاص دستگاه، درخواست‌های بازپرداخت و تاریخچه مرور است.

فاولر دو برنامه به نام SuperVPN را پیدا کرد که تحت توسعه دهندگان مختلف در فروشگاه Google Play و Apple App Store ثبت شده بودند. نسخه های SuperVPN برای iOS، iPad و macOS به توسعه دهنده ای به نام شرکت فناوری شبکه Qingdao Leyou Hudong نسبت داده می شود، در حالی که SuperSoft Tech دومین برنامه را تولید می کند.

دو توسعه‌دهنده مختلف برنامه‌هایی را برای SuperVPN فهرست شده‌اند که باعث سردرگمی کاربران می‌شود (اپل اپ استور)

پایگاه داده فاش شده حاوی ارجاعاتی به شرکت دیگری به نام Changsha Leyou Baichuan Network Technology است که چندین نام از شرکت فناوری شبکه Qingdao Leyou Hudong را ذکر کرده است. به نظر می رسد هر یک از این شرکت ها دارای روابط چینی هستند که با یادداشت هایی در پایگاه داده به زبان چینی تاکید شده است. پس از اینکه فاولر به صاحبان برنامه ایمیل زد تا آنها را از افشای اطلاعات مطلع کند، پایگاه داده افشا شده بسته شد. او هیچ پاسخی دریافت نکرد، که گیج کننده بود و تردیدهایی را در مورد تعهد آنها به حریم خصوصی کاربران ایجاد کرد.

همه نشانه ها نشان می دهد که شرکت فناوری شبکه چینگدائو لیو هودونگ مالک و مسئول پایگاه داده افشا شده است. با این وجود، با وجود چندین شباهت، رابطه بین آن و SuperSoft Tech نامشخص است. به عنوان مثال، آرم های این دو نهاد، به ویژه آرم های SuperVPN برای مک و سایر دستگاه های iOS، به طرز شگفت انگیزی مشابه هستند.

تلاش های فاولر برای تماس با هر دو شرکت برای اطمینان از اینکه آیا آنها مرتبط هستند یا یک توسعه دهنده مشترک دارند، هیچ نتیجه ای نداشت. با توجه به اطلاعات اندک در مورد مالکیت یا مکان آنها در وب سایت مربوطه آنها، نگرانی هایی در مورد باز بودن و ایمنی این خدمات VPN بدون هزینه ایجاد شده است.

تحقیقات بیشتر نشان داد که SuperVPN ایمیل‌های پشتیبانی مشتری را با Storm VPN، Luna VPN، Radar VPN، Rocket VPN و Ghost VPN به اشتراک می‌گذارد، که نشان‌دهنده ارتباط بالقوه بین این خدمات است. این قرار گرفتن در معرض تعهد اعلام شده SuperVPN مبنی بر عدم ثبت اطلاعات کاربر است و از این رو حریم خصوصی کاربر را تهدید می کند.

چه چیزی کشف کردیم؟

در حین تحقیق در مورد نشت داده های SuperVPN، کارشناسان ما اطلاعات جالبی پیدا کردند. دو برنامه رایگان VPN با نام های مشابه در فروشگاه Google Play موجود است. آنها توسط SuperSoftTech و Wechoice Mobile توسعه یافته اند و دارای آرم های متفاوتی هستند.

با وجود نگرانی های قبلی در مورد امنیت آن، نسخه SuperSoftTech از SuperVPN هنوز در فروشگاه Google Play موجود است (گوگل پلی)

محققان ما اختلافاتی را بین ادعاهای ناشناس بودن، حریم خصوصی و امنیتی و خط مشی‌های حفظ حریم خصوصی این برنامه‌ها در فروشگاه Google Play شناسایی کردند.

به طور گیج کننده، برنامه دیگری به نام Super VPN در فروشگاه Google Play موجود است (گوگل پلی)

به طور مشابه، دو برنامه SuperVPN در فروشگاه App Apple فهرست شده است: یکی که در بالا مورد بحث قرار گرفت (توسعه یافته توسط Qingdao Leyou Hudong Network Technology) و دیگری توسعه یافته توسط Free Safety Connected Software Co, Ltd.

با این حال، یکی دیگر از برنامه های Super VPN که توسط یک شرکت متفاوت توسعه یافته است، در فروشگاه App Apple فهرست شده است (اپل اپ استور)

این اپلیکیشن‌ها با همین نام و آرم‌های مشابه می‌توانند باعث سردرگمی و گمراهی کاربران شوند. علاوه بر این، به نظر می‌رسد که سیاست‌های حفظ حریم خصوصی آنها با ادعاهای حفاظت از هویت و امنیت داده‌های آنها در تضاد است و بیان می‌کند که داده‌های کاربر را می‌توان برای تبلیغ‌کنندگان و سایر اشخاص ثالث فاش کرد.

غذای آماده ما

مورد SuperVPN نشان می دهد که اگرچه VPN ها برای ارائه حریم خصوصی و امنیت آنلاین به مشترکین طراحی شده اند، اما شکست ناپذیر نیستند. تکنیک‌های رمزگذاری ضعیف، شکاف‌های امنیتی یا اقدامات امنیتی ناکافی می‌تواند منجر به نقض‌ها و به خطر انداختن داده‌های حساس کاربر شود.