Fonte:

Uma pesquisa da empresa de segurança Zimperium zLabs analisou 800 aplicativos gratuitos de VPN para celulares Android e iOS e revelou inúmeras falhas críticas de segurança, desde má implementação de códigos a permissões excessivas e falta de transparência dos desenvolvedores. As brechas não só afetam usuários como também empresas que permitem o uso de dispositivos pessoais para acessar sistemas internos. O que é uma VPN? Criptografia para iniciantes: o que é e por que é importante? Uma boa parte dos apps, segundo o relatório, possui comportamento malicioso, seja vazando dados pessoais ou não garantindo privacidade alguma. Três aplicativos, por exemplo, ainda usam uma versão obsoleta da biblioteca OpenSSL, deixando usuários vulneráveis ao bug Heartbleed (CVE-2014–0160), descoberto e corrigido em 2014, há mais de 10 anos. Gráfico elaborado pela Zimperium acerca dos perigos das VPNs gratuitas: a maioria apresenta comportamento perigoso, com a maior parte tirando prints de tela sem necessidade (Imagem: Zimperium) A brecha possibilita acesso remoto de hackers a informações sensíveis, como nomes de usuário, senhas e outras chaves de segurança. Aproximadamente 1% dos apps se mostraram vulneráveis a ataques man-in-the-middle, permitindo a interceptação e leitura de todos os dados de usuários. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- Problemas de permissão e transparência Enquanto alguns aplicativos apresentam problemas apenas devido à má construção, outros já vêm com intenções maliciosas. Um problema identificado em grande parte dos apps é o Abuso de Permissões, como uma VPN de iOS que pede acesso à localização 100% do tempo. Como a aplicação só deve assegurar a segurança do tráfego, usar a localização o tempo todo não faz sentido algum. Já alguns aplicativos de Android pedem permissão para ler todos os logs de sistema, permitindo a construção de um perfil completo de comportamento do usuário, sendo um keylogger sofisticado. Segundo a Zimperium zLabs, a falta de transparência é generalizada, dado que os apps não informam os usuários de todas as suas atividades e razão das permissões, por exemplo. Isso impede que o cliente possa consentir com a coleta de seus dados de maneira informada. A maior parte das VPNs gratuitas busca acesso a conteúdos de usuário que não são necessários para seu funcionamento, como localização e dados pessoais (Imagem: Zimperium) Até mesmo na App Store, da Apple, 25% dos aplicativos de VPN não possuem um manifesto de privacidade válido, um requerimento chave que informa aos usuários como seus dados serão coletados. Até 6% dos apps de iOS pedem títulos privados, permissões poderosas que garantem acesso profundo ao sistema operacional — e que nunca devem ser cedidas a desenvolvedores terceirizados. Essas VPNs constituem problemas críticos em empresas que deixam usuários usarem dispositivos pessoais para o trabalho (política BYOD). De acordo com a Zimperium, algumas empresas lidam com o problema gerando listas de apps proibidos, mas é visto que a segurança deve ser encarada com mais prioridade. O foco, agora, deveria ser em limitação a nível de conteúdo, concluem os especialistas, ao invés de de segurança com base em perímetro, como as VPNs. Veja mais: O que é phishing e como se proteger? O que é Engenharia Social? Aprenda a identificar e se proteger de golpes O que é firewall e como ele funciona? VÍDEO | O que é VPN?   Leia a matéria no Canaltech.

---

Clique aqui para ver toda notícia no site oficial.