এর অ্যাপ্লিকেশন ফ্রি ভিপিএননাম প্রকাশ না করার এবং নিরাপত্তার প্রতিশ্রুতি দেয় এমন কোম্পানিগুলি তাদের ব্যবহারকারীদের সংবেদনশীল তথ্য প্রকাশের জন্য তদন্তের আওতায় রয়েছে। একটি নতুন স্বাধীন বিশ্লেষণ সতর্ক করে যে লক্ষ লক্ষ মানুষ অজান্তেই তাদের তথ্য অন্যদের কাছে পৌঁছে দিতে পারে। প্রতিবার যখন তারা এই টুলগুলির একটি সক্রিয় করে।
এই গবেষণাটি iOS এবং Android উভয়কেই অন্তর্ভুক্ত করে এবং এই সিদ্ধান্তে উপনীত হয় যে সব ফ্রি ভিপিএন তাদের প্রতিশ্রুতি অনুযায়ী কাজ করে না।কিছু কিছুর বৈধ গোপনীয়তা নীতি নেই, তারা অতিরিক্ত অনুমতি চায় এবং দুর্বল উপাদান ব্যবহার করে, যা লিক এবং অননুমোদিত অ্যাক্সেসের দরজা খুলে দেয়।
জিম্পেরিয়াম বিশ্লেষণ কী প্রকাশ করে
অনিরাপদ মোবাইল ভিপিএন: লুকানো বিপদের শ্বেতপত্র পরীক্ষা করা হয়েছে ৮০০টি মোবাইল ভিপিএন অ্যাপ — iOS এর জন্য ৪০০ এবং Android এর জন্য ৪০০ — এবং তাদের অনেকের মধ্যেই একটি উদ্বেগজনক ধরণ খুঁজে পেয়েছি।
তথ্য অনুযায়ী, iOS এর জন্য ২৫% ফ্রি ভিপিএন-এ একটি নেই বৈধ গোপনীয়তা নীতি, একটি লঙ্ঘন যা ব্যবহারকারীদের তাদের ডেটা কীভাবে পরিচালনা করা হচ্ছে সে সম্পর্কে অস্পষ্ট করে তোলে।
অ্যান্ড্রয়েডেও সমস্যাটি কম গুরুতর নয়: বিশ্লেষণ করা ১৮% অ্যাপ কোনও অ্যাক্সেসযোগ্য গোপনীয়তা নীতি প্রদান করে না।, অবহিত সম্মতি প্রয়োগ করা এবং কার সাথে তথ্য ভাগাভাগি করা হচ্ছে তা বোঝা কঠিন করে তোলে।
গবেষণায় আরও দেখা গেছে যে ৬% বিশেষাধিকারপ্রাপ্ত পারমিটের অনুরোধ করে যা ভিপিএন-এর কাছে অ্যাক্সেসযোগ্য হওয়া উচিত নয়, যা সিস্টেমে গভীর অ্যাক্সেস সক্ষম করে যা অপব্যবহারের ঝুঁকি বাড়ায়।
হস্তক্ষেপমূলক অনুমতি এবং দুর্বল লাইব্রেরি
অ্যান্ড্রয়েডের সমস্যাযুক্ত অনুমতিগুলির মধ্যে রয়েছে: AUTHENTICATE_ACCOUNTS এবং READ_LOGS, যা আপনাকে যথাক্রমে অ্যাকাউন্ট পরিচালনা করতে এবং সিস্টেম লগ পড়তে দেয়, গুপ্তচরবৃত্তির সম্ভাবনা সহ যা VPN দিয়ে ন্যায্যতা প্রমাণ করা কঠিন।
iOS-এ, গবেষকরা অনুরোধগুলি বর্ণনা করেন ভূ-অবস্থান এবং স্থানীয় নেটওয়ার্কে অবিচ্ছিন্ন অ্যাক্সেস, এমন একটি সংমিশ্রণ যা কোনও কার্যকরী কারণ ছাড়াই গতিবিধি প্রোফাইল করতে পারে এবং কাছাকাছি ডিভাইসগুলি স্ক্যান করতে পারে।
এছাড়াও, বেশ কয়েকটি অ্যাপ্লিকেশন একীভূত হয় OpenSSL-এর পুরনো সংস্করণগুলি হার্টব্লিডের ঝুঁকিতে (CVE-2014-0160), একটি ত্রুটি যা মেমরি অ্যাক্সেস এবং কী এবং পাসওয়ার্ড অপসারণকে সক্ষম করে।
এমনকি ক্লায়েন্টদের সাথেও ভুল সার্টিফিকেট যাচাইকরণ: প্রায় ১% ম্যান-ইন-দ্য-মিডল (MitM) আক্রমণের জন্য সংবেদনশীল ছিল, যা সমস্ত এনক্রিপ্ট করা ট্র্যাফিককে ঝুঁকির মধ্যে ফেলেছিল।
একটি ঝুঁকি যা কোম্পানিগুলিকেও প্রভাবিত করে
সঙ্গে পরিবেশে BYOD নীতিমালা, একটি অনিরাপদ ভিপিএন ক্লায়েন্ট দুর্বল লিঙ্কে পরিণত হতে পারে যা কর্পোরেট তথ্য ফাঁস করে অথবা অভ্যন্তরীণ নেটওয়ার্কগুলিতে অনুপ্রবেশের দরজা খুলে দেয়।
স্বচ্ছতার অভাব — যার মধ্যে রয়েছে অনুপস্থিত বা অসঙ্গত গোপনীয়তা বিবৃতি প্রকৃত কার্যক্রমের সাথে - কোম্পানিগুলিকে বাধা দেয় ঝুঁকি যথাযথভাবে মূল্যায়ন করুন এবং কার্যকর নিয়ন্ত্রণ বাস্তবায়ন।
স্ক্যাম অ্যাপস: আইপিটিভি+ভিপিএন একটি ব্যাংকিং ট্রোজান ইনস্টল করে
ক্লিফি ফার্ম সতর্ক করেছিল যে Mobdro Pro IP TV + VPN সম্পর্কে, একটি অ্যাপ যা নিজেকে স্ট্রিমিং এবং ভিপিএন সমাধান হিসেবে উপস্থাপন করেছিল, কিন্তু ব্যাংকিং ট্রোজানের ইনস্টলার হিসেবে কাজ করেছিল ক্লোপাত্রা.
অনুমতি দেওয়ার পর, আক্রমণকারীরা সক্ষম হয়েছিল সম্পূর্ণ ডিভাইস নিয়ন্ত্রণ, বার্তা পড়তে, পরিচয়পত্র চুরি করতে এবং প্রতারণামূলক স্থানান্তরের আদেশ দিতে সক্ষম।
প্রচারণা, এর সাথে প্রায় ৩,০০০ নিশ্চিত সংক্রমণ —প্রধানত স্পেন এবং ইতালিতে—, সামাজিক প্রকৌশল কৌশল এবং অপব্যবহারের উপর নির্ভরশীল ছিল অ্যান্ড্রয়েড অ্যাক্সেসিবিলিটি পরিষেবা.
গুগল প্লে-এর বাইরে বিতরণ (সাইডলোডিং) এবং এর ব্যবহার দুটি সক্রিয় বটনেট যাচাই না করা উৎস থেকে অ্যাপ ইনস্টল করার অতিরিক্ত ঝুঁকি তুলে ধরে, যা ছড়িয়ে পড়াকে সহজতর করেছে।
স্বচ্ছতা এবং এনক্রিপশনের জন্য জনপ্রিয় পরিষেবাগুলি যাচাই-বাছাইয়ের অধীনে
ওপেন টেকনোলজি ফান্ড কর্তৃক প্রস্তুতকৃত ভিপিএন ট্রান্সপারেন্সি রিপোর্টটি পরীক্ষা করা হয়েছে ৩২টি বাণিজ্যিক সরবরাহকারী এবং বেশ কয়েকটি ভারী ডাউনলোড করা পরিষেবার দুর্বলতাগুলি নথিভুক্ত করেছে।
গবেষকরা "শক্তিশালী এনক্রিপশন" হিসাবে উপস্থাপিত প্রোটোকল সম্পর্কে সতর্ক করেছেন যা আসলে প্রযুক্তি ব্যবহার করে যেমন Shadowsocks, এন্ড-টু-এন্ড গোপনীয়তা নিশ্চিত করার জন্য ডিজাইন করা হয়নি।
কিছু ক্লায়েন্টের ক্ষেত্রে, 100 মিলিয়ন ডাউনলোড, অভ্যন্তরীণ কাজে জনপ্রিয়তা এবং অস্বচ্ছতার সংমিশ্রণ কম অভিজ্ঞ ব্যবহারকারীদের জন্য ঝুঁকির পৃষ্ঠকে বাড়িয়ে তোলে।
এই আবিষ্কারটি সংবেদনশীল ট্র্যাফিক পরিচালনার জন্য যেকোনো প্রদানকারীর প্রয়োজনীয়তাকে আরও জোরদার করে।
কেন এখনও বিনামূল্যের VPN ব্যবহার করা হয় এবং কীভাবে ঝুঁকি কমানো যায়
NordVPN দ্বারা উদ্ধৃত একটি জরিপ প্রকাশ করে যে যুক্তরাজ্যের ১২% ভিপিএন ব্যবহারকারী এখনও বিনামূল্যের পরিষেবার উপর নির্ভর করেন, যদিও জ্ঞানের সাধারণ স্তর ইতিমধ্যেই ৮০% এ পৌঁছেছে।
কারণগুলির মধ্যে রয়েছে: সঞ্চয়ের ধারণা, গতির উপর দৃষ্টি নিবদ্ধ করে দোকানে রেটিং এবং বিনামূল্যে এবং অর্থপ্রদানের বিকল্পগুলির মধ্যে "মৌলিক বিষয়গুলির" মিথ্যা সমতা।
ক্যাসপারস্কি স্মরণ করেন যে, ঐতিহাসিকভাবে, টোপ হিসেবে কাজ করেছে ডেটা নগদীকরণ বা বটনেট জ্বালানি, যা সাম্প্রতিক প্রযুক্তিগত আবিষ্কারের সাথে খাপ খায়।
ঝুঁকি কমাতে, বিশেষজ্ঞরা সুপারিশ করেন সাইডলোডিং এড়িয়ে চলুন, পারমিট পর্যালোচনা করুন এবং সরবরাহকারীদের নির্বাচন করুন বাহ্যিক নিরীক্ষা, নো-লগ নীতি এবং আপডেট করা এনক্রিপশনস্পেনে, INCIBE পরীক্ষা করার পরামর্শ দেয় কোম্পানির এখতিয়ার, ব্যবহৃত প্রযুক্তি এবং যেকোনো কিছু ইনস্টল করার আগে ডেটা সুরক্ষার প্রতি এর প্রতিশ্রুতি।
এই তদন্তগুলির দ্বারা আঁকা চিত্রটি স্পষ্ট: বিনামূল্যের ভিপিএন, আপনার ব্রাউজিংকে সুরক্ষিত করা তো দূরের কথা, এটিকে ঝুঁকির মুখে ফেলতে পারে।গ্যারান্টি সহ সরঞ্জাম নির্বাচন করা, সূক্ষ্ম মুদ্রণ পড়া এবং "সীমাহীন এবং বিনামূল্যে" অফারগুলি সম্পর্কে সতর্ক থাকা গোপনীয়তাকে দর কষাকষির একটি উপায়ে পরিণত না করার জন্য গুরুত্বপূর্ণ পদক্ষেপ।
