Абонирайте се за нюзлетъра на "Булевард България", за да получавате селекция с най-интересните теми на седмицата през погледа на нашия екип:
Google премахна мобилното приложение SuperVPN от своя Play Store след предупреждения на експерти за потенциалните рискове за потребителите.
Над 100 милиона души са изтеглили безплатния клиент за виртуални лични мрежи, който е определян от специалисти по киберсигурност като "изключително опасен" софтуер.
Според сайта VPNPro, приложението има критични слабости, които позволяват man-in-the-middle атаки. Това означава, че SuperVPN дава възможност на хакери да прихващат комуникацията на потребителите и да я пренасочват към собствените си сървъри.
Още през февруари VPNPro са подали сигнал до Google за уязвимостите на мобилния софтуер, който е останал достъпен през Play Store до началото на април.
Нито Google, нито VPNPro са успели да се свържат с разработчиците на SuperVPN - SuperSoftTech, за да ги уведомят, че трябва да поправят грешките в системата си. Затова от 7 април потребителите на мобилни устройства под Android вече нямат достъп до app-а.
Според официални данни SuperSoftTech е базиран в Сингапур. VPNPro обаче твърдят, че всъщност компанията се намира в Китай, което поставя под въпрос дали "вратичките" в приложението не са оставени умишлено отворени с цел политическо следене на потребителите.
Анализът на SuperVPN показва множество притеснителни резултати. Един от множеството хостове в услугата е получавал ключа, нужен за декриптиране на потребителската информация, заедно с пакета данни от SuperVPN.
Тази уязвимост е позволила на хората от VPNPro да подменят сървърните данни на SuperVPN със данните на своя сървър. Още един проблем в кода на приложението е, че част от данните се изпращат през некриптиран протокол, т.е. стават потенциално достъпни за частни лица или служби, които искат да следят комуникациите на потребителя.
Въпреки че слабостите в защитата на SuperVPN са известни на експертната общност от години, приложението беше отстранено едва сега от Google, като междувременно успя да събере значителна популярност сред потребителите на Android чрез SEO-трикове като фалшиви положителни ревюта.
От VPNPro посочват, че са изненадани от това, че Google не премахва приложението, след като са налице "толкова очевидни слабости", а милиони потребители могат да станат потенциални жертви.
В App Store на Apple също може да се открие приложение с името SuperVPN, но посоченият разработчик е различен от този на app-а под Android. Не е ясно дали и двете версии страдат от едни и същи проблеми със сигурността.
"Последствията са доста неприятни. Над 100 милиона души може да са станали жертва на кражба на данни като кредитни карти, снимки и клипове. Разговорите им може да са били записвани и изпращани на сървъри в неизвестни локации", предупреждават от VPNPro.
VPNPro, които са сигнализирали Google за уязвимостите, са сайт, който се издържа с реклама на VPN услуги. От компанията твърдят, че не са в конфликт на интереси по казуса със SuperVPN, защото "изследванията и анализите са напълно независими от бизнес модела".
"Основната ни цел е да откриваме нарушения в защитата на лични данни при публично достъпните приложения за десктоп или мобилни устройства, и да представяме тази информация по достъпен начин", казват те пред "Форбс".
"Разбираме, че някои компании може да не са доволни от това, че изобличаваме опасните приложения или програми, но вярваме, че това е в интерес на потребителите".
