By SuperVPN Free VPN Client är en av de mest populära gratis VPN-apparna du kan hitta på Google Play Store, har redan fått mer än 100 miljoner installationer.
Men förutom att vara en mycket populär app, det finns något annat du behöver veta om detta gratis VPN: SuperVPN Free VPN Client är också mycket farligt. Du ser, vår analys visar att den här appen har kritiska sårbarheter som öppnar den för farliga attacker som kallas man-in-the-middle-hackar (MITM). Dessa sårbarheter gör det möjligt för hackare att enkelt avlyssna all kommunikation mellan användaren och VPN-leverantören, vilket gör att hackarna ser allt användaren gör.
Detta är faktiskt motsatsen till vad ett VPN ska göra. Ett VPN är tänkt att hålla dina online-aktiviteter privata och säkra från alla snokande ögon. Faktum är att ett VPN är tänkt att vara så säkert att även om en hackare kunde fånga upp dessa kommunikationer, skulle det ta längre tid än universums ålder att ens börja dekryptera data. Men det är inte vad SuperVPN har gjort här.
Konsekvenserna här är ganska ödesdigra. Baserat på vår forskning kunde mer än 105 miljoner människor just nu få sina kreditkortsuppgifter stulna, deras privata foton och videor läckte eller sålda online, varenda minut av deras privata samtal registreras och skickas till en server på en hemlig plats. De kan surfa på en falsk, skadlig webbplats som inrättats av hackaren och med hjälp av dessa farliga VPN-appar.
Men vad som är ännu värre är att denna app inte är ensam: av de bästa VPN-appar vi analyserade, 10 gratis VPN-appar har liknande kritiska sårbarheter. Om du har installerat någon av dessa farliga VPN-appar bör du ta bort dem omedelbart:
Om denna forskning
För att kunna genomföra vår analys utvecklade vi först ett konceptbevis för att skapa en man-in-the-middle-attack (MITM). Vi tittade sedan på de bästa apparna i Google Play som returnerades när du sökte efter sökordet ”vpn” i januari 2019. Vi försökte först vår MITM-attack på två topp 10 VPN — SuperVPN och Best Ultimate VPN — och sedan filtrerade och testade de återstående apparna.
Vi avslöjade dessa sårbarheter för alla 10 påverkade VPN-appar i oktober 2019 och gav dem tillräckligt med tid för att åtgärda dessa problem. Tyvärr, bara en av dem, Best Ultimate VPN, svarade och slutligen lappade sin app baserat på den information vi tillhandahållit inom denna 90-dagarsperiod. De andra svarade inte på våra frågor.
Vi har också rapporterat dessa sårbarheter till Google, men hittills har inte hört något från dem ännu.
Viktiga hämtningar
10 av de bästa gratis VPN-apparna i Google Play-butiken har betydande sårbarheter, vilket påverkar nästan 120 miljoner användare
Dessa sårbarheter gör det möjligt för hackare att enkelt fånga upp användarkommunikation, inklusive att se besökta webbplatser och stjäla användarnamn och lösenord, foton, videor och meddelanden
2 appar använder hårdkodade kryptografiska nycklar, och 10 appar saknar kryptering av känsliga data. 2 av dessa appar lider av båda sårbarheterna.
En app identifierades redan som skadlig kod, men togs aldrig bort från Play Store och fick 100 miljoner installationer under tiden. I tidigare forskning identifierade vi denna app för potentiellt manipulering av Google Play för att rangordna högt och få fler installationer
4 av de drabbade apparna finns i Hongkong, Taiwan eller Kina
Vissa appar har sina krypteringsnycklar hårdkodade i appen. Detta innebär att även om data är krypterade kan hackare enkelt dekryptera dessa data med de medföljande nycklarna
På grund av sårbarheterna kan hackare enkelt tvinga användare att ansluta till sina egna skadliga VPN-servrar
Låt oss ta en fördjupad titt på en app för att visa vilken typ av sårbarheter vi hittade.
SuperVPN sätter 100 miljoner användare i riskzonen
SuperVPN är ett mycket populärt Android VPN som var i position 5 för ”vpn” nyckelordet vid tidpunkten för vår analys. Enligt Google Play har appen laddats ner mer än 100 miljoner gånger (i januari 2019 hade den bara 50 miljoner installationer):
Bara för att visa dig hur stort av ett nummer som är för alla VPN, detta är samma antal installationer för mycket mer populära appar som Tinder och AliExpress:
Vad vi gjorde
I våra tester märkte vi att SuperVPN ansluter till flera värdar, med viss kommunikation skickas via osäker HTTP. Denna kommunikation innehöll krypterade data. Men efter mer grävning fann vi att detta meddelande faktiskt innehöll nyckeln som behövs för att dekryptera informationen.
Vad vi hittade
Efter dekryptering av data fann vi känsliga iom SuperVPN-servern, dess certifikat och de autentiseringsuppgifter som VPN-servern behöver för autentisering. När vi hade den här informationen ersatte vi den riktiga SuperVPN-serverdata med våra egna falska serverdata.
Vem är bakom SuperVPN?
SuperVPN och dess utvecklare SuperSoftTech har varit i våra sikte tidigare. Vår tidigare forskning analyserade de få företagen i hemlighet bakom många VPN-produkter. Från det vet vi att SuperSoftTech hävdar att vara baserad i Singapore, men det tillhör faktiskt den oberoende apputgivaren Jinrong Zheng, en kinesisk medborgare sannolikt baserad i Peking.
Vi upptäckte också att SuperVPN hade kallats ut tidigare i en 2016 australisk forskningsartikel [pdf] som den tredje mest malware-riggade VPN-appen.
Detta är bara ett exempel på sårbarheter som vi hittade i alla 10 appar som listas i den här artikeln.
Ett rykte för manipulation
SuperVPN diskuterades tidigare i vår tidigare forskning om den potentiella manipulationstaktiken som de bästa VPN använde för att till synes rangordna högre i Google Play-resultat.
I den forskningen upptäckte vi att de 10 bästa resultaten för ”vpn” sökordet i Google Play var alla fria VPN. De rankade mer än marknadsledande VPN, som NordVPN och ExpressVPN. Vår forskning upptäckte att dessa bättre rankade appar verkade använda tre enkla manipulationstekniker för att få så hög ranking.
Det innebär att SuperVPN från SuperSoftTech verkar inte bara använda manipuleringstekniker för att ranka högt i Google Play, men är också farligt sårbar.
Vi försökte kontakta mr Zheng vid flera tillfällen, men vi har inte hört något från honom.
Hur MITM-hackare tränger in i VPN-appar
För att verkligen förstå hur kritiska och farliga dessa sårbarheter är måste du förstå lite av hur användare normalt ansluter till VPN.
Den exakta processen för VPN kan verka lite komplicerad, men anslutningen är ganska enkel.
Nu, med en hackad VPN-anslutning, finns det en MITM-hacker som placerade sig mitt i din app och VPN-serverns backend-server:
Och det här är den farliga delen: genom att ändra detaljerna kan han nu tvinga dig att ansluta till sin skadliga server istället för den riktiga VPN-servern. Medan allt verkar fungera normalt, och du tror att du är extra säker och säker, blir du faktiskt allvarligt exponerad.
Totalt är ditt privatliv exponerat, och det är bara begränsat av hackerns fantasi vad han kan göra med all den informationen.
Vad detta innebär för din säkerhet
Detta är ett katastrofalt fynd på två nivåer. I vidare bemärkelse är det katastrofalt att alla appar som deltar i användardata skulle ha dessa vidöppna sårbarheter som gör det särskilt enkelt för hackare och myndigheter att övervaka användarkommunikation.
I en mer specifik och farligare mening är det katastrofalt att ett VPN skulle ha dessa sårbarheter. Användarna ansluter trots allt till VPN för att öka deras integritet och säkerhet. Därför är de mer villiga att överföra känslig information på VPN-appar än på andra appar. För en VPN-app att då vara så sårbar är ett svek mot användarnas förtroende och sätter dem i en sämre position än om de inte hade använt någon VPN alls.
Men det kan finnas något större på spel här. När man tittar på dessa appar tillsammans verkar det finnas två viktiga möjligheter:
Dessa kärnsårbarheter är avsiktliga för dessa fria VPN-appar. När allt kommer omkring, eftersom en framgångsrik MITM-attack skulle tillåta någon möjlighet att övervaka känsliga användardata (eller omdirigera användare till falska VPN-servrar) utan användarens vetskap, det är ett användbart verktyg för alla övervakningskunniga organisationer eller nation.
Å andra sidan borde vi förmodligen inte tillskriva ondska vad som kan förklaras av dumhet — eller här, lättja. Enkelt uttryckt är apputvecklarna här så fokuserade på att få stora mängder användare och fylla sin app med annonser, att de placerade lägre prioritet på kärnsäkerhetsfunktionerna i sina appar.
Medan en möjlighet kan verka värre än en annan, någon gång bara resultatet är viktigt: människor som använder dessa sårbara appar sätter sina data — och möjligen deras liv — i fara.
Baserat på detta väsentliga faktum, rekommenderar vi starkt användare att undvika dessa sårbara VPN-appar till varje pris. När du letar efter ett effektivt VPN rekommenderar vi användare att göra sin due diligence. Fråga dig själv följande frågor:
Känner jag till denna VPN-utvecklare eller varumärke? Verkar de pålitliga?
Var finns VPN? Är det jag?n ett privatliv vänligt land?
Vilka behörigheter krävs för mobilappar? Behöver de verkligen dessa behörigheter för att fungera (till exempel kameran, GPS, mikrofon)?
Gratis är bra — men kan du lita på detta VPN? Det finns några lovvärda gratis VPN eller VPN med fria alternativ från välrenommerade varumärken.
Att ta en aktiv roll i att filtrera ut de bra VPN från de dåliga kommer att spara användarna mycket problem senare.
