نتایج پژوهش جدید نشان داد، ۱۸ مورد از ۱۰۰ برنامه شبکه خصوصی مجازی (VPN) که بیشترین دانلود در فروشگاه گوگل‌پلی را دارند، مخفیانه به سه گروه بزرگ متصل هستند، با وجود اینکه ادعا می‌کنند، ارائه‌دهندگان مستقلی هستند.

نتایج نشان داد، وی‌پی‌ان‌های مورد نظر نه فقط روابط پشت صحنه را فاش نکردند، بلکه زیرساخت‌های مشترک آنها دارای نقص‌های امنیتی جدی نیز است. سرویس‌های شناخته‌شده‌ای مانند «تربو وی‌پی‌ان» (Turbo VPN)، «وی‌پی‌ان پراکسی مستر» (VPN Proxy Master) و «وی‌پی‌ان-ایکس» (X-VPN) در برابر حملات افشای فعالیت مرور کاربر و تزریق داده‌های خراب، آسیب‌پذیر هستند.

این مقاله با عنوان «پیوندهای پنهان: تحلیل خانواده‌های مخفی برنامه‌های وی‌پی‌ان» از تحقیقی توسط «پرو وی‌پی‌ان» (VPN Pro) الهام گرفته شده است که نشان داد، چندین شرکت وی‌پی‌ان، هر کدام چندین برنامه را بدون شناسایی ارتباط بین آنها می‌فروشند. این پژوهشگران «پیوندهای پنهان» را بر آن داشت تا این سوال را مطرح کنند که «آیا می‌توان روابط بین وی‌پی‌ان‌های مشترک مخفیانه را به طور سیستماتیک مستند کرد یا خیر؟».

پژوهشگران با شروع از فهرست وی‌پی‌ان‌هایی با بیشترین دانلود در اندروید، داده‌هایی را از اسناد تجاری، حضور در وب و پایگاه کد هر وی‌پی‌ان، جمع‌آوری کرده و آنها را برای یافتن ارتباط بررسی کردند. آنان در درجه اول از طریق شناسایی شباهت‌های مشکوک در کد، توانستند ۱۸ برنامه وی‌پی‌ان را در سه گروه دسته‌بندی کنند.

گروه اول شامل «تربو وی‌پی‌ان» (Turbo VPN)، «تربو وی‌پی‌ان لایت» (Turbo VPN Lite)، «وی‌پی‌ان مانستر» (VPN Monster)، «وی‌پی‌ان پراکسی مستر» (VPN Proxy Master)، «وی‌پی‌ان پراکسی مستر لایت» (VPN Proxy Master Lite)، «اسنپ وی‌پی‌ان» (Snap VPN)، «ربات وی‌پی‌ان» (Robot VPN) و «سوپرنت وی‌پی‌ان» (SuperNet VPN)است. مشخص شد که این سرویس‌ها بین سه ارائه‌دهنده – «اینوویتیو کانکتینگ» (Innovative Connecting)، «لیمن کلو» (Lemon Clove) و «اوتیم بریز» (Autumn Breeze) به اشتراک گذاشته شده‌اند. هر سه به «چیهو ۳۶۰» (Qihoo ۳۶۰)، شرکتی مستقر در چین که وزارت دفاع آمریکا آن را «شرکت نظامی چینی» می‌داند، مرتبط بوده‌اند.

خانواده دوم شامل «گلوبال وی‌پی‌ان» (Global VPN)،«ایکس‌وای وی‌پی‌ان» (XY VPN)، «سوپر زد وی‌پی‌ان» (Super Z VPN)، «تاچ وی‌پی‌ان» (Touch VPN)، «وی‌پی‌ان پرو مستر» (VPN ProMaster)، «تری ایکس وی‌پی‌ان» (۳X VPN)، «وی‌پی‌ان اینف» (VPN Inf) و «ملون وی‌پی‌ان» (Melon VPN)است. این هشت سرویس که بین پنج ارائه‌دهنده مشترک هستند، همگی از آدرس‌های آی پی (IP) یکسان از یک شرکت میزبان استفاده می‌کنند.

خانواده سوم شامل «وی‌پی‌ان-ایکس» X-VPN و «فست پوتیتو وی‌پی‌ان» ( Fast Potato VPN) است. اگرچه این دو برنامه هر کدام از ارائه‌دهندگان متفاوتی هستند اما پژوهشگران دریافتند که هر دو از کد بسیار مشابهی استفاده می‌کنند و پروتکل وی‌پی‌ان سفارشی یکسانی را شامل می‌شوند.

اگر شما از کاربران وی‌پی‌ان» هستید، این نتایج باید به دو دلیل شما را نگران کند؛ مشکل اول این است که شرکت‌هایی که فعالیت‌های خصوصی و داده‌های شخصی شما به آنها سپرده شده است، در مورد محل استقرار، مالک آنها یا اینکه اطلاعات حساس شما را با چه کسی به اشتراک می‌گذارند، صادق نیستند.

اما برنامه‌های آنها به هیچ وجه بی‌نقص نیستند که مشکل دوم است. هر ۱۸ وی‌پی‌ان در هر سه گروه از پروتکل «شادوساکس» (Shadowsocks) با یک رمز عبور کدگذاری شده استفاده می‌کنند که آنها را مستعد تصاحب از طرف سرور (که می‌تواند برای حملات بدافزار استفاده شود) و سمت کلاینت (که می‌تواند برای استراق سمع فعالیت‌های وب استفاده شود) می‌کند.

در نهایت، اینکه یک ارائه‌دهنده وی‌پی‌ان در مورد پیشینه خود صادق نیست و یک کلاینت وی‌پی‌ان که روی زیرساخت «اسلپ‌دش» (slapdash) اجرا می‌شود، نشانه‌های یک مشکل مشابه هستند. اینها برنامه‌هایی هستند که برای انجام کاری غیر از حفظ امنیت آنلاین شما طراحی شده‌اند.

سایت اینگیجمنت گزارش کرد، مقاله «لینک‌های پنهان»، این نکته را بیش از پیش ضروری می‌کند که هرگز یک وی‌پی‌ان رایگان را بدون بررسی اولیه دانلود نکنید و فقط از وی‌پی‌ان‌های رایگانی استفاده کنید که توسط اشتراک‌های پولی پشتیبانی می‌شوند.

نتایج این پژوهش در نشریه «سمپوزیوم فناوری‌های بهبود حریم خصوصی» (PETS) منتشر شده است.