VPN: el huevo de la serpiente enquista a cibercriminales

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Un grupo de investigadores ha analizado 283 aplicaciones de Android de Google Play que utilizan el permiso de VPN de Android en busca de posible presencia de malware, incrustación código malicioso o manipulación de tráfico, y han descubierto que:

El 18% de las aplicaciones implementan protocolos de tunelización sin encriptación (a pesar del prometedor anonimato a los usuarios)

El 84% de las aplicaciones no cuenta con un túnel para el tráfico IPv6, y el 66% no cifra el tráfico DNS por una variedad de razones, exponiendo así a los usuarios al seguimiento en línea por las agencias de vigilancia o puntos de acceso WiFi comercial

El 75% de las aplicaciones utilizan bibliotecas de seguimiento de terceros y el 82% solicita permisos para acceder a recursos sensibles (por ejemplo, cuentas de usuario, mensajes de texto)

VirusTotal identificó presencia de malware en el 38% de las aplicaciones analizadas

El 18% de las aplicaciones no mencionan la entidad que aloja el servidor VPN de terminación

El 16% de las aplicaciones puede reenviar el tráfico a otros usuarios participantes en lugar de usar servidores alojados en la nube (y esto plantea una serie de problemas de confianza, seguridad y privacidad para los usuarios participantes)

Además descubrieron que 16% de las aplicaciones implementan proxies no transparentes que modifican el tráfico HTTP del usuario.

Cuando la VPN es la trampa

De hecho, dos de ellos activamente inyectan código JavaScript en el tráfico del usuario con fines de publicidad y seguimiento, y uno de ellos redirecciona el tráfico de comercio electrónico a los socios de publicidad externos.

4 de las aplicaciones VPN analizadas comprometen el directorio raíz de los usuarios y realizan activamente la interceptación TLS, aparentemente con el fin de optimizar el tráfico a determinados servicios.

Reacciones de los desarrolladores

Los investigadores se han puesto en contacto con los desarrolladores de las aplicaciones encontradas para plantear algunas o todas estas cuestiones.

Gran parte de los desarrolladores hicieron oídos sordos al cuestionamiento y muy pocos tomaron contacto para justificar su forma de operar, que no se ajusta a las promesas efectuadas.

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris