به گزارش پایگاه خبری خبرآنی به نقل از مرکز ماهر، برنامه SuperVPN Free VPN Client یک برنامه موفق اندرویدی رایگان است که از ۴ سال پیش با ۱۰ هزار نصب شروع به فعالیت کرد و هم اکنون بیش از ۱۰۰ میلیون نصب فعال دارد.
گوگل تایید کرده است که این برنامه با بیش از ۱۰۰ میلیون نصب فعال دارای آسیبپذیری است که منجر به شنود همه ترافیک کاربر میشود.
مرکز ماهر با بررسی این آسیبپذیری که توسط محققان امنیتی در VPNpro کشف شده است، اعلام کرد: با تحلیل بیشتر مشخص شد که این برنامه به هاستهای متعدد متصل میشود و در یکی از این هاستها payload مشکوکی با اتصال نا امن HTTP از برنامه به هاست ارسال میشود.
این payload حاوی دادههای رمزنگاری شده بود که در پاسخ، payload مشابه دریافت میکرد.
این payload حاوی کلیدهای مورد نیاز برای رمزگشایی داده بود که با رمزگشایی آن، اطلاعات حساس سرور شامل گواهینامههای سرور و اعتبارنامهها که سرور VPN برای احراز هویت احتیاج داشت به دست آمد.
محققان با جایگذاری اطلاعات سرور SuperVpn با سرور آزمون خود، به نتایج زیر دست یافتند.
- اتصالاتی که از HTTP نا امن و آشکار استفاده میکنند ممنوع نیستند: ترافیک HTTP رمزنگاری نمیشوند در نتیجه هر فردی با رهگیری ترافیک قادر به شنود ارتباطات کاربر خواهد بود.
- Payloadهای ارسالی مبهم سازی (obfuscated) شدهاند: اطلاعات ارسالی از برنامه (کاربر) و سرور رمزنگاری شده است.
- در برنامه کلیدهای رمزنگاری hardcode شده یافت شد: متاسفانه با وجود رمزنگاری payloadهای مذکور، کلیدهای موردنیاز برای رمزگشایی در خود برنامه موجود است.
- Payloadها حاوی اعتبارنامههای EAP هستند: VPNها از اعتبارنامههای EAP برای جلوگیری از اتصالات خارج از برنامه به سرور خود استفاده میکنند. اما با ارسال اعتبارنامههای EAP در payloadهایی که رمزنگاری نشدهاند یا رمزنگاری ضعیفی دارند استفاده از اعتبارنامههای EAP عملا بیفایده خواهد بود.
با استفاده از این آسیبپذیری علاوه بر امکان حمله مرد میانی و شنود ترافیک، مهاجم میتواند با تغییر جزییات اتصال VPN، کاربر را به جای اتصال به سرور VPN اصلی مجبور به اتصال به سرور مخرب خود کند.
برنامه Supervpn پیشتر در سال ۲۰۱۶ در مقالهای پروهشی به عنوان برنامه مخرب شناخته شده بود.
این برنامه به تازگی از پلی استور گوگل حذف شده است.