Несколько известных провайдеров VPN, в том числе Surfshark, TurboVPN и VyprVPN, входят в число шести брендов, обвиняемых в рискованной практике, которая потенциально ставит под угрозу безопасность пользователей.
Исследовательская компания AppEsteem, занимающаяся исследованиями в области безопасности, в рамках своей программы Deceptor обнаружила, что приложения поставщиков устанавливают сертификат доверенного корневого центра сертификации (ЦС) на пользовательские устройства, а некоторые поставщики даже не получают на это согласия пользователей.
Недавно AppEsteem расширила свою программу, включив в нее провайдеров VPN, сканирующих VPN-приложения на предмет обманчивого и рискованного поведения, которое может нанести вред потребителям.
не хорошая практика
AppEsteem также отметил, что популярный провайдер VPN Surfshark устанавливает свой корневой сертификат CA на устройство пользователя, даже если пользователь отменяет установку. Surfshark ясно указывает на использование собственного доверенного корневого сертификата «только для подключения к VPN-серверам с использованием протокола IKEv2».
Эксперт по безопасности TechRadar Pro Майк Уильямс сказал: «Установка доверенных корневых сертификатов не является хорошей практикой. «В случае компрометации он может позволить злоумышленнику подделать больше сертификатов, выдать себя за другие домены и перехватить ваши сообщения».
(Изображение предоставлено: будущее)
Каковы риски установки дополнительного доверенного корневого сертификата?
Сертификаты корневого ЦС являются краеугольным камнем аутентификации и безопасности в программном обеспечении и в Интернете. Они выдаются центром сертификации (CA) и, по сути, подтверждают, что владельцем программного обеспечения/веб-сайта является тот, за кого они себя выдают.
Установка дополнительного корневого сертификата ЦС может поставить под угрозу безопасность всего вашего программного обеспечения и коммуникаций. Когда вы включаете новый доверенный корневой сертификат на свое устройство, вы позволяете третьей стороне собирать практически любые данные, передаваемые на ваше устройство или с него.
Кроме того, злоумышленник, похитивший закрытый ключ, принадлежащий доверенному корневому ЦС, может генерировать сертификаты для своих целей и подписывать их с помощью закрытого ключа.
Это относится к программным приложениям, веб-сайтам или даже электронной почте. Возможно все, от атаки «человек посередине» до установки вредоносного ПО, о чем свидетельствуют атаки в 2021 году в Монголии и в 2020 году во Вьетнаме, когда были скомпрометированы центры сертификации.
Сертификаты Power Root CA на устройстве пользователя — вот почему государственные субъекты, такие как Россия, оказывают давление на граждан, чтобы они установили их новый Root CA, шаг, который EFF описывает как «открывающий путь для десятилетия цифрового наблюдения».
Шесть провайдеров VPN, которые, как было установлено, устанавливают корневые сертификаты ЦС на устройства пользователей, — это Surfshark, Atlas VPN, VyprVPN, VPN Proxy Master, Sumrando VPN и Turbo VPN. Два самых известных провайдера в списке, Surfshark и Atlas VPN, недавно объединились с материнской компанией NordVPN, Nord Security. Однако среди упомянутых провайдеров NordVPN не было.
Зачем VPN-компании устанавливать доверенный корневой сертификат?
Мы не думаем, что это необходимо, даже для поддержки IKEv2, и большинство VPN с самым высоким рейтингом этого не делают.
Когда провайдер VPN устанавливает дополнительный корневой сертификат ЦС, он доверяет только проверкам шифрования и подлинности поставщика, поскольку доверенный корневой сертификат может переопределить проверки шифрования и подлинности фактической службы, которую вы используете (например, Mozilla Firefox, WhatsApp).
Это позволяет провайдеру VPN перехватывать и контролировать практически весь ваш трафик, в худшем случае. Мы связались с Surfshark, Atlas VPN и VyprVPN и обновим статью, когда свяжемся с вами.
Сравните лучшие VPN-сервисы в целом прямо сейчас:
