Vulnerabilidade em VPN expõe dados de usuários em aplicativos grátis

São Paulo — InkDesign News — Um estudo conduzido pela zLabs da Zimperium revelou que milhões de usuários que dependem de aplicativos VPN móveis gratuitos para privacidade online podem estar colocando seus dados em risco. A pesquisa analisou quase 800 aplicativos gratuitos de VPN para Android e iOS e descobriu que muitos não apenas falham na proteção dos usuários, mas também expõem a sérias ameaças de segurança e privacidade.

Incidente e vulnerabilidade

O estudo identificou que uma porção significativa dos aplicativos VPN apresentou comportamentos perigosos. Alguns deles vazam dados pessoais, enquanto muitos oferecem “nenhuma privacidade real”. Segundo os pesquisadores, um ponto crítico é a utilização de softwares obsoletos e vulneráveis pelos desenvolvedores. Por exemplo, três aplicativos ainda utilizam uma parte desatualizada da biblioteca OpenSSL, expondo-os ao infame bug Heartbleed (CVE-2014-0160). Essa vulnerabilidade permite que atacantes remotos leiam informações sensíveis, como chaves secretas, nomes de usuário e senhas. Aproximadamente 1% dos aplicativos eram suscetíveis a ataques Man-in-the-Middle (MitM), possibilitando que atacantes interceptem e leiam todo o tráfego do usuário.

Impacto e resposta

O impacto desses achados pode ser grave, especialmente para empresas que adotam políticas Bring-Your-Own-Device (BYOD), onde os funcionários utilizam dispositivos pessoais para trabalho. Durante a análise, foi constatado que muitos aplicativos solicitavam permissões excessivas, práticas conhecidas como abuso de permissões. Por exemplo, um aplicativo de VPN para iOS pedia acesso a localização “sempre ativa” (LOCATION_ALWAYS), o que não faz sentido dado que a principal função de uma VPN é proteger o tráfego, e não rastrear a localização do usuário continuamente. Ademais, alguns aplicativos para Android solicitavam a capacidade de ler todos os logs do sistema (READ_LOGS), potencialmente permitindo a construção de um perfil completo do comportamento do usuário.

“A liberação de um aplicativo com uma falha conhecida que possui correção destaca uma séria falta de diligência em segurança.”
(“Releasing an app with a decade-old flaw that has a known fix highlights a serious lack of security diligence.”)

— Zimperium zLabs

Mitigações recomendadas

Com a necessidade premente de segurança de dados, as organizações devem adotar uma abordagem de segurança em várias camadas. Isso pode incluir gerência de endpoint visível e a avaliação dos riscos associados ao uso de aplicações. Patches de segurança devem ser aplicados imediatamente, e as boas práticas incluem a elaboração de listas de aplicativos permitidos. Tarbet, da Menlo Security, relevou que “há uma necessidade real de proteção de dados a nível de conteúdo”. As empresas devem empresarialmente oferecer conscientização sobre os riscos associados ao uso de aplicativos VPN gratuitos, que podem, na verdade, representar o maior risco para seus dados.

“É necessário mudar de uma mentalidade de segurança baseada em perímetro (como com VPNs) para proteção a nível de conteúdo.”
(“The key is shifting from a perimeter-based security mindset (such as with VPNs) to content-level protection.”)

— Brandon Tarbet, Diretor, TI & Segurança, Menlo Security

Os riscos permanecem, e conforme a situação se desdobra, é imperativo que os usuários e as organizações adotem medidas rigorosas para salvaguardar seus dados. A segurança de dados deve ser uma prioridade, especialmente num cenário em que ferramentas comuns, como VPNs, podem ser mal aplicadas.

Fonte: (Hack Read – Segurança Cibernética)