La Tua VPN Gratuita Ti Protegge o Ti Spia? Analisi Shock Su 800 App Rivelano Rischi Gravi

Milioni di persone utilizzano applicazioni VPN (Virtual Private Network) mobili nella convinzione di nascondere il proprio traffico e navigare in modo sicuro. Tuttavia, un'analisi approfondita condotta da Zimperium zLabs su quasi 800 VPN gratuite per Android e iOS ha rivelato un quadro allarmante: un numero significativo di queste app non solo non offre una protezione efficace, ma introduce nuovi e gravi rischi per la sicurezza.

I ricercatori hanno osservato comportamenti coerenti e inquietanti: molte VPN offrono poca privacy, richiedono autorizzazioni inutili e pericolose, sono soggette a perdite di dati e utilizzano codice obsoleto. Con la diffusione delle politiche BYOD (Bring Your Own Device) in ambito aziendale, questi problemi si trasformano in vulnerabilità di sicurezza per le imprese, poiché un client VPN popolare può facilmente far trapelare dati sensibili.

I Rischi Più Gravi Rilevati:

1. Vulnerabilità Decennali: L'osservazione più allarmante riguarda l'uso di librerie di terze parti obsolete. Tre applicazioni sono state trovate contenere una vecchia build di OpenSSL con la vulnerabilità Heartbleed (CVE-2014-0160). Questa falla, nota da oltre un decennio, consente l'accesso remoto alla memoria e l'esfiltrazione di chiavi di crittografia e password, indicando una scarsa igiene nello sviluppo software.

2. Attacchi Man-in-the-Middle (MitM): Circa l'1% dei client analizzati è risultato vulnerabile agli attacchi man-in-the-middle a causa di una convalida impropria dei certificati. L'app accetta un certificato falso e stabilisce una connessione apparentemente sicura con un aggressore, inoltrando di fatto il traffico nelle mani sbagliate.

3. Autorizzazioni Eccessive e Pericolose: Le app VPN gratuite richiedono spesso permessi completamente inutili per il loro scopo, trasformandosi in vere e proprie spie:

   • Su Android: Richieste come AUTHENTICATE_ACCOUNTS (gestione di account e token) e READ_LOGS (lettura dei log di sistema) aprono la porta al furto di identità e al monitoraggio delle attività di altre app.

   • Su iOS: Richieste di accesso costante alla geolocalizzazione e alla rete locale consentono di tracciare la cronologia dei movimenti dell'utente e di scansionare silenziosamente i dispositivi domestici o d'ufficio alla ricerca di obiettivi di attacco.

4. Mancanza di Trasparenza su iOS: Un quarto delle app su iOS non presentava un adeguato manifesto della privacy, rendendo impossibile per l'utente fornire un consenso informato. Questa opacità, specialmente per software che promettono anonimato, è considerata di per sé un rischio.

La conclusione dei ricercatori è netta: non tutte le VPN sono ugualmente utili, e in particolare quelle gratuite rappresentano un rischio significativo per la privacy degli utenti domestici e un potenziale pericolo aziendale in ambienti di lavoro misti.