Birkaç tanınmış VPN sağlayıcısı – dahil sörf köpekbalığı, TurboVPN ve VyprVPN – potansiyel olarak kullanıcı güvenliğini baltalayan riskli bir uygulama için çağrılan altı marka arasındadır.
onun bir parçası olarak Aldatıcı programıgüvenlik araştırma şirketi AppEsteem, sağlayıcıların uygulamalarının kullanıcıların cihazlarına güvenilir bir kök sertifika yetkilisi (CA) sertifikası yüklediğini ve hatta bazı sağlayıcıların bunu yapmak için kullanıcıların onayını alamadığını buldu.
AppEsteem kısa süre önce programını VPN sağlayıcılarını içerecek şekilde genişletti ve tüketicilere zarar verebilecek aldatıcı ve riskli davranışları aramak için VPN uygulamalarını araştırdı.
iyi uygulama değil
AppEsteem ayrıca, popüler VPN sağlayıcısı Surfshark’ın, kullanıcı kurulumu iptal etse bile kök CA sertifikasını kullanıcının cihazına yüklediğine dikkat çekti. Surfshark, “yalnızca IKEv2 protokolünü kullanarak VPN sunucularına bağlanmak için” kendi güvenilir kök sertifikasının kullanılmasından açıkça bahseder.
TechRadar Pro‘nin güvenlik uzmanı Mike Williams, “Güvenilir kök sertifikaları yüklemek iyi bir uygulama değil. ‘Güvenliği ihlal edilirse, bir saldırganın daha fazla sertifika oluşturmasına, diğer etki alanlarının kimliğine bürünmesine ve iletişiminizi engellemesine izin verebilir.”
Ek bir güvenilir kök sertifika yüklemenin riskleri nelerdir?
Kök CA sertifikaları, yazılımda ve İnternette kimlik doğrulama ve güvenliğin temel taşıdır. Sertifikalı bir yetkili (CA) tarafından verilirler ve esasen yazılım/web sitesi sahibinin söyledikleri kişi olduğunu doğrularlar.
Ek bir kök CA sertifikasının yüklenmesi, tüm yazılım ve iletişimlerinizin güvenliğini potansiyel olarak zayıflatır. Cihazınıza yeni bir güvenilir kök sertifika eklediğinizde, üçüncü tarafın cihazınıza veya cihazınızdan aktarılan hemen hemen her türlü veriyi toplamasını sağlarsınız.
Ayrıca, güvenilir bir kök sertifika yetkilisine ait özel anahtarı ele geçiren bir saldırgan, kendi amaçları için sertifikalar üretebilir ve bunları özel anahtarla imzalayabilir.
Bu, yazılım uygulamaları, web siteleri ve hatta e-posta için geçerlidir. 2021’deki bilgisayar korsanları tarafından gösterildiği gibi, ortadaki adam saldırısından kötü amaçlı yazılım yüklemeye kadar her şey mümkündür. Moğolistan ve 2020 yılında Vietnam CA’ların güvenliğinin ihlal edildiği yer.
Kök CA sertifikalarının bir kullanıcının cihazı üzerindeki gücü, devlet aktörlerinin neden Rusya, vatandaşları yeni kök CA’larını kurmaya zorluyorEFF’nin “on yıllık dijital gözetimin önünü açmak” olarak tanımladığı bir hareket.
Kullanıcı cihazlarına kök CA sertifikaları yüklediği tespit edilen altı VPN sağlayıcısı Surfshark, Atlas VPN, VyprVPN, VPN Proxy Master, Sumrando VPN ve Turbo VPN’dir. Listedeki en iyi bilinen sağlayıcılardan ikisi, ikisi de yakın zamanda Surfshark ve Atlas VPN katıldı NordVPN’in ana şirketi Nord Security. Ancak NordVPN, belirtilen sağlayıcılar arasında değildi.
Bir VPN şirketi neden güvenilir bir kök sertifika yüklemek ister?
Bunun IKEv2 uyumluluğu için bile gerekli olduğuna inanmıyoruz ve en yüksek puanlı VPN’lerin çoğu bunu yapmıyor.
Bir VPN sağlayıcısı tarafından ek bir kök CA sertifikası yüklendiğinde, güvenilir kök sertifika, kullandığınız asıl hizmetin (örn. Mozilla Firefox, Naber).
Bu, VPN sağlayıcısının en kötü senaryoda, esasen tüm trafiğinize müdahale etmesini ve izlemesini mümkün kılar. Surfshark, Atlas VPN ve VyprVPN ile iletişime geçtik ve haber aldığımızda makaleyi güncelleyeceğiz.