Michigan Üniversitesi, New Mexico Üniversitesi ve IIT Delhi araştırmacıları tarafından NDSS siber güvenlik konferansında sunulan yeni bir analiz sistemi (MVPNalyzer), Google Play Store'daki en popüler 281 ücretsiz VPN uygulamasını mercek altına aldı. Sonuçlar; toplamda 2.4 milyardan fazla indirilen bu uygulamaların, kullanıcı trafiğini gizli ve güvenli tutma konusundaki temel vaatlerinde bile başarısız olduğunu gösterdi.
Araştırmanın en kritik bulgularından biri, bazı uygulamaların yapılandırma (konfigürasyon) dosyalarını tamamen şifresiz (plain text) olarak sunucudan çekmesi oldu. Bu açık, halka açık Wi-Fi ağlarındaki bir saldırganın araya girerek (man-in-the-middle) hedef cihazı kendi kontrolündeki bir sunucuya yönlendirmesine (tunnel hijacking) olanak tanıyor. Kullanıcı ekranda "bağlandı" ibaresini görse de tüm internet trafiği doğrudan saldırgana akıyor.
Ayrıca incelenen uygulamalardan 29'unun DNS ve tüm internet trafiğini şifreli tünelin dışına sızdırdığı, 61'inin verileri açık metin olarak gönderdiği ve 169'unun trafiği gizlemek için hiçbir çaba sarf etmediği belirlendi. Bu durum, sansürcü hükümetlerin veya ağ operatörlerinin VPN kullanımını kolayca tespit edip engellemesine yol açıyor. Dahası, kullanıcıların takipten kaçmak için yüklediği bu uygulamaların 76'sının reklam kimliklerini (Advertising ID) paylaştığı, 246'sının ise doğrudan reklam ve takip sunucularıyla iletişim kurduğu belgelendi.
Yapılandırma zayıflıkları ve denetim eksikliği
OpenVPN altyapısı kullanan 108 uygulamanın kod yapısı incelendiğinde, sadece tek bir uygulamanın siber güvenlik standartlarına tam uyum sağladığı görüldü. Uygulamaların yüzde 89'unun tek bir kimlik doğrulama yöntemiyle yetindiği, her beş uygulamadan birinin ise Blowfish ve triple DES gibi uzun yıllardır bilinen zayıflıklara (CVE-2016-6329 ve CVE-2016-2183) sahip eski şifreleme algoritmalarını barındırdığı tespit edildi.
Uzmanlar, bu durumun temel sebebinin güncellenmeyen kod tabanları ve Google Play Store'un otomatik denetim mekanizmalarındaki yetersizlikler olduğunu vurguluyor. Google'ın mağazada kullandığı "Verified" (Doğrulanmış) rozetleri ve güvenlik etiketlerinin, gerçek bir güvenlik garantisinden ziyade birer pazarlama argümanı gibi işlev gördüğü ifade ediliyor.
Benzer şekilde Citizen Lab, Arizona State Üniversitesi ve Zimperium tarafından yapılan diğer bağımsız araştırmalar da popüler ücretsiz VPN'lerin arka planda gizli şifre paylaşımları yaptığını, Heartbleed (2014) gibi eski siber güvenlik açıklarını hâlâ barındırdığını ve ihtiyaç duymadıkları hassas cihaz izinlerini (kesin GPS konum verileri dahil) talep ettiğini doğruluyor.
teknik analiz: Mobil cihazlarda MVPNalyzer algoritmasıyla tespit edilen bu açıklar, yazılım dünyasındaki tedarik zinciri çürümesini (software supply chain decay) gözler önüne seriyor. Geliştiricilerin eski OpenSSL kütüphanelerini (Heartbleed riski) ve güvensiz şifreleme standartlarını (Blowfish) kullanmaya devam etmesi, mobil ekosistemdeki siber hijyen eksikliğinin en net kanıtı. Google Play Store gibi merkezi uygulama dağıtım ağlarının siber güvenlik denetimlerinde yetersiz kalması ve " Verified" ibaresini bir pazarlama kozu olarak kullanması, son kullanıcıda yapısal bir yanıltıcı güven (false sense of security) algısı yaratıyor. Bu durum, ofansif siber aktörlerin hedef odaklı sızma operasyonlarında mobil VPN kanallarını birer arka kapı (backdoor) olarak kullanmasını kolaylaştırıyor.
