Hàng trăm triệu người dùng đã tải xuống các ứng dụng VPN với những lỗ hổng bảo mật nghiêm trọng
Diễn đàn - Ngày đăng : 14:56, 13/08/2019
Khi Thomas Jefferson (1743 – 1826) – tổng thống thứ ba của Hợp chủng quốc Hoa Kỳ kí vào bản Tuyên ngôn độc lập, ông đã định rõ rằng tính mạng, tự do và mưu cầu hạnh phúc là ba quyền lợi không thể thay đổi của nhân loại.
Hơn 230 năm sau, người ta tự hỏi: Thế còn quyền riêng tư thì sao?
Không có gì là mới hết. Luật sư Jacqueline Klosek đã viết một cuốn sách có tên là “Quyền dữ liệu riêng tư trong thời đại thông tin” năm 2000 - nhưng sau đó vụ bê bối dữ liệu của Cambridge Analytica đã làm cho vấn đề về quyền riêng tư được công chúng quan tâm hơn. Chúng tôi từ lâu đã chuyển dữ liệu cá nhân cho các công ty để đổi lấy quyền truy cập vào hàng hóa và dịch vụ, nhưng đối với người tiêu dùng thận trọng, luôn có sẵn các công cụ để bảo vệ dữ liệu cá nhân của họ.
Nói một cách dí dỏm, việc sử dụng mạng riêng ảo (hay còn gọi là VPN) đang gia tăng trên toàn thế giới. Loại bảo mật này tạo ra một đường hầm liên lạc được mã hóa giữa thiết bị của bạn và internet, bảo vệ lịch sử duyệt web, thư từ của bạn và bất kỳ thông tin nào khác mà bạn chia sẻ trước những con mắt tò mò. Trong quý đầu tiên của năm 2018, khoảng 26% người dùng trực tuyến toàn cầu được báo cáo là đã sử dụng VPN hoặc máy chủ proxy để truy cập internet; vào quý 4, con số đó đã tăng lên 30%.
Nhưng chuyện gì sẽ xảy ra khi loại bảo mật này bắt đầu bị rạn nứt - cho dù là do lỗ hổng trong khi xây dựng hay, đáng sợ hơn, là do lỗ hổng được đặt khéo léo từ chính người tạo ra nó?
Simon Migliano, người đứng đầu nhóm nghiên cứu tại Top10VPN, một trang web nghiên cứu và đánh giá VPN, gần đây đã điều tra về điều đó. Trong một đợt đánh giá mới, Migliano nhận thấy có hàng loạt ứng dụng VPN miễn phí mà anh ấy chưa từng thấy trước đây trong cả Apple Store và Google Play Store. Thật kỳ lạ, anh nói, bởi vì anh là chuyên gia ngành này và rất hiếm khi anh thấy nhiều người mới đến như vậy. Các ứng dụng đã thu hút hàng trăm triệu người dùng nhưng đằng sau nhiều người trong số họ là những tên doanh nghiệp xa lạ không có website hay thông tin gì về những người chạy chương trình. VPN miễn phí thì luôn “có vấn đề”, Migliano nói, nhưng trong quá khứ, hiếm khi chúng được coi là nguy hiểm.
Trong trường hợp này, rất nhiều ứng dụng có vẻ đáng ngờ đó đã thu hút được sự quan tâm của Migliano. Có phải đây là những cái bẫy dành cho người tiêu dùng? Anh quyết định tìm hiểu.
Kết quả điều tra
Vào tháng 12, Top10VPN đã xuất bản một nghiên cứu chuyên sâu, xem xét kỹ hơn 30 ứng dụng tạo nên 20 kết quả tìm kiếm hàng đầu về VPN trên cả App Store và Google Play Store. Kết quả thật đáng kinh ngạc, đặc biệt là khi nói đến các chính sách quyền sở hữu và quyền riêng tư của ứng dụng và khi có một thực tế rằng một số ứng dụng có tới 50 triệu lượt tải xuống trên toàn thế giới.
Sau khi tìm hiểu thông tin về quyền sở hữu của ứng dụng, Migliano và nhóm của ông đã phát hiện ra rằng gần 60% ứng dụng VPN miễn phí phổ biến nhất trên App Store của Apple và Google Play Store thuộc sở hữu bí mật của các cá nhân hoặc công ty ở Trung Quốc bất chấp các hạn chế về internet và nghiêm cấm VPN của đất nước này.
Đối với các dịch vụ được dành riêng - theo tên và chức năng - cho quyền riêng tư, nhiều ứng dụng VPN được tìm kiếm hàng đầu cũng thất bại một cách ngoạn mục trong việc bảo mật dữ liệu, nghiên cứu của Migliano cho biết. Khoảng 86% số ứng dụng đó có các lỗi chính sách về bảo mật nghiêm trọng, bao gồm các vấn đề như chính sách chung không có điều khoản cụ thể về VPN hoặc thiếu các chi tiết bảo mật trong quá trình đăng nhập có thể mang lại cho người dùng cảm giác bảo mật giả. Những ứng dụng khác có chính sách cho phép theo dõi hoạt động của người dùng hoặc chia sẻ dữ liệu với bên thứ ba và một số công ty và cá nhân sở hữu ứng dụng cùng tên này đã tuyên bố rõ ràng họ chia sẻ dữ liệu với Trung Quốc.
Ví dụ như, Hola VPN, là một ứng dụng có trụ sở tại Israel dành cho iOS và Android với hơn 10 triệu lượt cài đặt trên toàn thế giới. Chính sách bảo mật của nó quy định rằng nó sẽ ghi nhật ký hoạt động của người dùng như một loại trình duyệt, lịch sử duyệt web và thời gian dành cho mỗi trang web, cũng như ngày và giờ truy cập.
Bộ ba ứng dụng VPN Master, Turbo VPN và Snap VPN - có hơn 14 triệu lượt cài đặt Android và 1,1 triệu lượt cài đặt iOS hàng tháng – cho biết họ có thể chuyển dữ liệu cá nhân của người dùng sang Trung Quốc hoặc Singapore và các loại dữ liệu họ chia sẻ rất phong phú ví dụ như loại trình duyệt, địa chỉ IP, mốc thời gian, mã nhận dạng thiết bị, địa chỉ email, chi tiết CPU, sử dụng pin và hơn thế nữa.
Một phát hiện đáng ngờ khác là khoảng 55% ứng dụng lưu trữ chính sách bảo mật của họ trên các trang nghiệp dư, chẳng hạn như các trang web WordPress miễn phí có quảng cáo hoặc tệp văn bản thuần túy trên Pastebin. Hơn một nửa tài khoản email cá nhân được liệt kê (Gmail, Yahoo, v.v…) là địa chỉ email hỗ trợ khách hàng và khi Top10VPN tiếp cận qua các kênh đó, 83% yêu cầu email hỗ trợ khách hàng đã bị bỏ qua.
Lấy SuperVPN làm ví dụ. Đây là một ứng dụng có tới 50 triệu lượt tải xuống trên Google Play Store. Nó liệt kê hai địa chỉ giả mạo trực tuyến, cung cấp một địa chỉ Gmail cá nhân cho các yêu cầu dịch vụ khách hàng và có chính sách bảo mật mơ hồ với ít hơn 350 từ.
Migliano và nhóm của ông cũng đã tiến hành đánh giá kỹ thuật chuyên sâu hơn 150 ứng dụng VPN có sẵn cho người dùng Android. Tổng cộng các ứng dụng đã có hơn 260 triệu lượt cài đặt từ cửa hàng Google Play theo nghiên cứu được công bố vào tháng 2. Hiện tại, con số đó đã đạt 518 triệu. Kết quả rất đáng quan ngại là có 85% các ứng dụng có quyền hoặc chức năng xâm nhập và lạm dụng quyền riêng tư thực sự. Gần 7 trong số 10 phần mềm đã bị “tài liệu dành cho nhà phát triển Android” chính thức phân loại là “nguy hiểm”. Và 18% các ứng dụng được thử nghiệm dương tính trong các lần quét sơ bộ để tìm virus hoặc phần mềm độc hại tiềm ẩn.
Thời báo Entrepreneuer đã làm việc với Sixgill, một công ty điều tra các mối đe dọa đã phân tích sâu các nguồn web đen để tìm hiểu thêm về 5 VPN có khả năng không an toàn trong nghiên cứu của Migliano bao gồm: VPN Proxy Master, TurboVPN, Snap VPN, X-VPN và Secure VPN. Dov Lerner, một nhà nghiên cứu về điều tra không gian mạng tại công ty nhận thấy rằng hầu hết trong số các ứng dụng đó được khuyến khích sử dụng trong các diễn đàn web đen.
“Tôi đã cười vì điều đó”, Lerner nói. “Trong hành vi trộm cắp này, tất cả mọi người đều là kẻ trộm - mọi người đều cố gắng kiếm tiền từ người khác. Vì vậy, thật buồn cười khi biết rằng nếu các VPN này không an toàn thì những người này cũng khó có thể an toàn. Vì họ thực sự tham gia vào các hoạt động bất hợp pháp, các dịch vụ VPN này có thể giao chúng cho cơ quan thực thi pháp luật hoặc sử dụng chúng để tống tiền. Thật khó để nói những gì họ sẽ làm với nó, nhưng chắc chắn đã có tài liệu thỏa hiệp”.
Làm thế nào điều này có thể ảnh hưởng đến người tiêu dùng (và tại sao bạn nên quan tâm)
Khi các vi phạm về bảo mật dữ liệu lan truyền như cháy rừng, ví dụ như vụ Equifax, Yahoo và Marriott, bạn có thể tự hỏi: Dữ liệu cá nhân của tôi đã có sẵn trong mạng. VPN không an toàn sẽ gây ra những rủi ro mới nào nữa đây?
Nhưng có một lý do hợp lệ ở đây để thực hiện để bảo vệ chính mình. Theo định nghĩa, VPN (mạng riêng ảo) được trình bày dưới dạng tùy chọn an toàn để sử dụng Internet an toàn. Điều đó có nghĩa là ai đó sử dụng VPN có thể tin rằng họ được bảo vệ khi truy cập website của tổ chức tài chính, nhà cung cấp bảo hiểm y tế hoặc một cửa hàng nhạy cảm khác. Nhưng khi bạn sử dụng VPN, tất cả dữ liệu duyệt web của bạn bao gồm mỗi byte dữ liệu duyệt web và tìm kiếm website sẽ chạy sang các máy chủ được cung cấp bởi nhà cung cấp dịch vụ đó cũng như bên điều hành ứng dụng.
Khi phân tích một phần của tập dữ liệu cực lớn, ngay cả thông tin dường như vô hại cũng có thể tiết lộ các khía cạnh nhạy cảm của cuộc sống người dùng. Theo dõi vị trí có thể chỉ ra tôn giáo, liên kết chính trị, tình trạng sức khỏe và hơn thế nữa. Có thể bạn đang tìm kiếm các triệu chứng trầm cảm cho một người nào đó trong gia đình hoặc truy cập các trang web cho thấy bạn lo lắng về sự ổn định tài chính. Dù thế nào đi nữa, thông tin đó có khả năng xác định quảng cáo mà ứng dụng nhắm trực tiếp vào bạn. Nó cũng có thể được ghi lại, nắm bắt, phân phối và bán cho các bên thứ ba, bao gồm các nhà quảng cáo và tiếp thị.
Với rất ít hoặc không có bảo mật dữ liệu, các giao dịch này đang được thực hiện dưới nhiều cấp độ mặc dù bạn không có mối quan hệ nào với Nhà cung cấp dịch vụ Internet (ISP) và bạn không phải là một phần của cuộc trao đổi về việc bán lại dữ liệu. Phần lớn thị trường này đều không được kiểm soát.
Và đó chỉ là về khía cạnh pháp lý. Trong các trường hợp bên lề, nhà cung cấp VPN bất hợp pháp thậm chí có thể lấy thông tin người dùng nhằm mục đích đánh cắp danh tính. Ví dụ, trên trang web đen, thông tin đăng nhập của người dùng cho email và mật khẩu có thể được bán với giá từ 3 đến 5 đô la, trong khi dữ liệu thẻ tín dụng có thể có giá 30 đô la, Lerner nói.
Và vì 59% ứng dụng - trong nghiên cứu của Migliano, đã che giấu quyền sở hữu của Trung Quốc bất chấp lệnh cấm VPN nghiêm ngặt ở nước này, các nhà chức trách đều có thể truy tìm dữ liệu nhạy cảm của người dùng cho mục đích điều tra mà không cần giám sát hay xem xét kĩ lưỡng. Migliano cho biết: “Việc điều tra có thể được thực hiện nội bộ, cấp quốc gia và không thể đề xuất thực hiện điều tra trên phạm vi quốc tế”. Có vẻ như rất xa vời nhưng cuộc tranh cãi về việc tập đoàn điện thoại di động khổng lồ Huawei xuất hiện trong những tháng gần đây về mối quan hệ bị cáo buộc của nó với chính phủ và tình báo Trung Quốc thật vẫn không thể tin được.
Trong trường hợp tốt nhất thì các ứng dụng này đơn giản là đến từ các công ty Trung Quốc và họ không chịu trách nhiệm bảo vệ dữ liệu, Lerner nói. Còn trong trường hợp xấu thì họ không chỉ không chịu trách nhiệm về bảo vệ dữ liệu mà họ còn thu thập hàng loạt dữ liệu từ người dùng.
Một lưu ý khác, đó là vấn đề về VPN với các lỗi bảo mật không có chủ ý. Đây là những sản phẩm không thể hoạt động tốt và không có sự cho phép về mã nguồn. Điều tra của Migliano cho thấy rằng một phần tư trong số 150 ứng dụng được liệt kê trong Chỉ số rủi ro của Android đã bị rò rỉ trên mạng - nói cách khác, nó cho phép các ISP truy cập vào dữ liệu duyệt web của người dùng.
Các quyền xâm nhập khác có thể là kết quả của các nỗ lực nhằm mục tiêu quảng cáo hoặc một cái gì đó độc ác hơn. Điều tra của Migliano cho thấy 87 trong số 150 ứng dụng bao gồm quyền truy cập mã nguồn để truy cập vào vị trí được biết đến của người dùng. Sáu ứng dụng bao gồm quyền để mở camera điện thoại của người dùng, nghĩa là chúng tăng gấp đôi phần mềm gián điệp và bốn ứng dụng thậm chí còn bao gồm các quyền để bí mật gửi tin nhắn SMS từ thiết bị của người dùng.
“Thế hệ internet của chúng ta đã trở nên quen thuộc với việc nhận và sử dụng các ứng dụng miễn phí”, Lerner nói, “nhưng bảo vệ quyền riêng tư và bảo vệ dữ liệu đều có giá của nó. Nếu bạn muốn dữ liệu của mình được bảo vệ, bạn phải trả tiền cho nó”.
Một vấn đề toàn cầu
Trong khoảng nửa thế kỷ, học thuyết bên thứ ba là một yếu tố chính của luật về quyền riêng tư của Hoa Kỳ, quy định rằng sau khi chia sẻ thông tin với bên thứ ba, các cá nhân sẽ không còn quyền riêng tư nữa. Nhưng khi người tiêu dùng đầu tư nhiều hơn vào quyền bảo vệ dữ liệu của họ, và các vi phạm tiếp tục lan rộng thì chính phủ bắt đầu thực hiện các bước hướng tới các quy định mạnh mẽ hơn. Vermont, Maine và California đều đã thông qua các đạo luật theo một cách nào đó quy định hoặc hạn chế việc bán dữ liệu cư trú, và một số tiểu bang khác đang xem xét các biện pháp tương tự.
Nhưng cuộc chiến giành quyền dữ liệu riêng tư đã được mở rộng ra toàn cầu và đang được tiến hành ở quy mô cá nhân.
Việc tắt Internet xảy ra thường xuyên trên khắp thế giới; ví dụ, theo một báo cáo, 22 chính phủ ở Châu Phi đã ra lệnh ngừng hoạt động internet trong 5 năm qua. Và nhiều người dùng VPN chọn các tùy chọn miễn phí vì họ không thể trả tiền cho các dịch vụ tương tự, mặc dù có thể họ đang rất cần.
Từ năm 2009, chính phủ Iran đã kiểm duyệt quyền truy cập vào các nền tảng truyền thông xã hội như Facebook, Twitter và YouTube kể từ khi các nhà hoạt động sử dụng chúng để tổ chức các cuộc biểu tình. Một số cư dân tải xuống VPN để bỏ qua các hạn chế đó.
Vào tháng Tư, sau vụ đánh bom ngày Phục Sinh ở Sri Lanka, chính phủ đã đóng các nền tảng như Facebook, WhatsApp và YouTube, với lý do cần phải hạn chế thông tin sai lệch. Để biết thông tin về những gì đã xảy ra và để liên lạc với người thân của mình, người dân đã chuyển sang dùng VPN.
Và vào tháng Năm, chính phủ Indonesia đã hạn chế quyền truy cập vào phương tiện truyền thông xã hội sau các cuộc bạo loạn chết người nổ ra sau cuộc bầu cử tổng thống. Người dân đã sử dụng VPN để tránh việc tắt máy và đăng ký với những người thân yêu, cũng như tải ảnh, video hoặc tin nhắn thoại lên các nền tảng như WhatsApp.
Có thể đã có lúc chính phủ muốn điều chỉnh các mạng VPN, nhưng đang tồn tại nguy cơ bị xâm nhập trong đó chính phủ là những người vừa kiểm duyệt vừa điều chỉnh các công cụ chống kiểm duyệt. Đó là lý do tại sao Migliano coi Google và Apple là những ví dụ điển hình của các tổ chức xuyên quốc gia có thể tạo ra quy định về VPN ở các quốc gia trên thế giới.
“Mọi người nhìn thấy các ký hiệu đồng đô la khi họ nghĩ về VPN”, Migliano nói. “Hiện tại, có một khoảng trống và sai lầm là một số người đang đổ xô vào để lấp đầy khoảng trống đó”. Ông đã hình dung một tương lai trong đó các dịch vụ được điều chỉnh theo cách tương tự như ISP - ví dụ, phải tuân theo các yêu cầu minh bạch của công ty và thậm chí là một bài kiểm tra tiêu chuẩn cho việc liệu một người có phù hợp để phục vụ công chúng hay không. “Google và Apple có thể xem xét các ứng dụng VPN nhưng điều này thực sự chưa xảy ra”.
Phản hồi từ Google và Apple
Khi Migliano lần đầu chia sẻ những phát hiện với Apple và Google qua email vào đầu năm 2019, ông đã đưa vào danh sách chi tiết các ứng dụng không an toàn, liên kết nghiên cứu, liên kết đến danh sách trên các cửa hàng ứng dụng, đề xuất các bước cần thực hiện và hơn thế nữa. Migliano đã thông báo cho mỗi công ty rằng anh ấy sẽ đợi 10 tuần để họ giải quyết các lỗ hổng trước khi đưa ra công chúng bản nghiên cứu.
Đã hơn 6 tháng và bản nghiên cứu của Migliano đã chỉ ra rằng 77% các ứng dụng được gắn cờ là không an toàn, bản nghiên cứu này hiện có sẵn để tải xuống và ngày càng được phổ biến. Theo Google Play, số lượt tải ứng dụng đã tăng lên 85% trong sáu tháng (tổng cộng là 518 triệu lượt tải cho đến nay). Trong App Store, số lượt cài đặt hàng tháng hầu như không thay đổi ở mức 3,8 triệu, nhưng theo nghiên cứu của Top10VPN, đó vẫn là một mức tăng tương đối. Con số này là ít hơn 20% so với đầu năm vì một số ứng dụng hiện không còn khả dụng.
“Khá là khó hiểu vì Apple và Google thậm chí còn chưa đưa ra một tuyên bố nào”, Migliano cho biết. “Có lẽ họ đã hoàn toàn phớt lờ vấn đề này, tôi lấy làm ngạc nhiên, thậm chí là họ không thừa nhận nó, đưa ra một số lời khuyên và trả lời rằng: “chúng tôi đang xem xét”.
Đại diện của Apple đã đồng ý xem xét kỹ hơn nhưng chưa đưa ra thời điểm công bố và Google thì không có phản ứng nào.
Vào ngày 3/6, Apple đã giới thiệu Vòng lặp mới trong Nguyên tắc Đánh giá App Store của mình trong đó cấm VPN chia sẻ thông tin người dùng với các bên thứ ba. Vấn đề là có vẻ như công ty đã không nỗ lực nhiều, vì hiện có tới 80% trong số 20 ứng dụng VPN miễn phí hàng đầu trên thực tế có thể tải xuống từ App Store mà vẫn không tuân thủ các nguyên tắc, nhưng vẫn có tổng số 6 triệu lượt tải mỗi tháng.
“Theo quan điểm của tôi, họ đã tự đặt mình vào hoàn cảnh khó khăn”, Migliano nói. “Họ đã từng thừa nhận rằng VPN cần phải được đối xử một cách khác biệt nhưng họ không thực sự làm gì cả”.