VPN
أخر الأخبار

هل استخدام VPN Proxy Master آمن؟

تعرّف في هذه المراجعة الشاملة على مخاطر استخدام البرنامج والثغرات التي اكتشفناها خلال الاختبارات.

في وجود أكثر من 10 مليون تحميل لبرنامج VPN Proxy Master، وبتقييم 4.6 من قبل نصف مليون مستخدم على Google Play هل يمكن التشكيك في هذا التطبيق؟  في الحقيقة يعد VPN Proxy Master (في بي ان بروكسي ماستر) من أكثر برامج الـ VPN المجانية شيوعًا بين مستخدمي الأندرويد، والويندوز، وأجهزة Mac، و iOS. فيما يتعلق ببرامج الـ VPN المجانية، فإن الشعبية لا تعني بالضرورة جودة التطبيق. وإن عنت ذلك فعليك أن تسأل عما يأخذه البرنامج في المقابل لتقديم تلك الخدمة.

لقد قمنا باختبار برنامج VPN Master Proxy، ووجدنا أنه من أكثر البرامج خطورة، وبه عدد من الثغرات الأمنية يجعل بياناتك مراقبة باستمرار. في هذه المراجعة نقدم لك سببًا واضحًا يجعلك تقوم بمسح ذلك التطبيق على الفور.

الاسم VPN PROXY MASTER
الشركة المصنعة  Allconnected
بلد التطبيق الصين
سنة الإنشاء 2015
البريد الالكتروني لمطور التطبيق [email protected]
عدد السيرفرات 6000
عدد البلدان 40

نقدم لكم الطريقة التي اتبعها فريقنا لمراجعة تطبيق VPN Proxy Master:

قمنا بتحليل برمجي للتطبيق يهدف لمعرفة ما إذا كان التطبيق يحتفظ ببيانات المستخدمين ويخزنها في السيرفرات المركزية الخاصة به أم لا.

يشمل هذا التطبيق ركنين رئيسيين:

  • جمع وتحليل المعلومات المتعلقة بالتطبيق.
  • تحليل التطبيق تقنيًا.

1.    جمع وتحليل المعلومات الخاصة بالتطبيق:

قمنا بجمع كافة البيانات المتعلقة بالتطبيق مثل هوية مطور التطبيق لمعرفة التكنولوجيا المستخدمة أثناء تطوير التطبيق ومسار العمل الخاص به.

كان من المتوقع أن نجد بسهولة اسم مطور التطبيق مدرج في الصفحة الخاصة بتحميل التطبيق. ولكن الأمر المدهش أن عملية الوصول لاسم مطور البرنامج كانت مهمة مستحيلة!

فلم نجد سوى بريد المطور الإلكتروني في أحد الإصدارات القديمة للتطبيق على موقع (سي نت) ومعها اسم الشركة المصنعة (all connected)

صورة: نسخة قديمة للتطبيق على موقع سي نت تحتوي على اسم الشركة المصنعة للتطبيق

حاولنا الوصول لبيانات أكثر عن مطور التطبيق عن طريق استخدام الموارد مفتوحة المصدر لنجد أن ذلك البريد الالكتروني لم يعد له وجود. وهناك محاولة من أصحاب التطبيق لعدم ربط الايميل بالتطبيق من قريب أو من بعيد.

صورة: البحث عن الايميل عن طريق البحث في الدومين الخاص بشركة all connected

حاولنا البحث عن الايميل عن طريق البحث في النطاق (الدومين) الخاص بالشركة http://www.allconnected.co/. ولكن لم يقدم الموقع أية معلومات جديدة لذلك انتقلنا إلى الخطوة التالية وهي استكشاف الموقع الخاص بالتطبيق وجمع كافة النطاقات (domains) الفرعية الخاصة بالموقع.

صورة: موقع all connected

2.    تحليل تطبيق VPN Master تقنيًا:

هنا نحاول معرفة كيف يعمل التطبيق بشكل تقني، وكيف يتعامل مع السيرفر المركزي.

أولًا، ولمعرفة أدق وأكثر تفصيلًا عن كيفية عمل التطبيق، نبدأ بتحليل النطاقات الفرعية للسيرفر المركزي.

صورة: تحليل النطاقات الفرعية للسيرفر المركزي

اكتشاف ثغرة في المدونة الخاصة بموقع VPN Proxy Master:

وجدنا أن أحد تلك النطاقات يسمى Blog.vpnproxymaster.com، وهو أحد المواقع التي صممت باستخدام وورد بريس.

بعدها حاولنا معرفة عدد المستخدمين لهذا الموقع، وما هي أسماءهم.

صورة: المستخدمين لمدونة تطبيق VPN Proxy Master

وكانت النتيجة مثيرة للاهتمام، وهي أن عدد المستخدمين اثنين فقط، وأسمائهم كالتالي:

Firstcom Admin
admin Dm inconnecting

لم يكن غرضنا من هذا التحليل اكتشاف ثغرات تخص المدونة، ولكن وجود تلك الثغرات يجعل من المنطقي أن تثار الشكوك حول خدمة VPN Proxy Master. وفيما يخص المدونة فهي تتيح إرسال أوامر إلى ملف اسمه Xmlrpc.php.

اكتشاف ملفات موجودة لرفع بيانات المستخدمين إلى السيرفر الرئيسي:

أثناء بحثنا في النطاقات الفرعية لموقع تطبيق VPN Proxy Master، وجدنا نطاقات تسمح برؤية الملفات الداخلية لديها.

صورة: نتيجة البحث في النطاقات الفرعية لـ تطبيق VPN Proxy Master

أحد تلك الملفات كان باسم Upload.php. ومن الواضح أن ذلك الملف يقوم برفع الملفات إلى السيرفر الرئيسي.

عند فتح التطبيق على الأندرويد، لم يبد أن البرنامج يحتفظ بأي بيانات أو يرسلها لأي سيرفر آخر. عندما أوقفنا الاتصال مع السيرفر، وقتها تم إرسال بيانات الآي بي IP واسم البلد واسم مزود الخدمة والعديد من البيانات الأخرى. وكان اسم الملف المسئول عن استقبال هذه البيانات Report.php. أي أنه قد تم برمجة التطبيق على إرسال تقارير عن بيانات المستخدمين. البيانات التي من المفترض أن يقوم برنامج الـ VPN بتشفيرها وعدم الاحتفاظ بها، ناهيك عن استخدامها.

وهذا دعانا للتساؤل هل يقوم الملف Upload.php – الذي ذكرناه مسبقًا – بفعل نفس الشئ ولكن مع بيانات أكثر خصوصية كالصور الخاصة بالمستخدمين.

اكتشاف ثغرة أمنية أخرى في تطبيق VPN Proxy Master :

في هذه الصورة، نجد أن رقم الـ IP الخاص بالسيرفر الذي يستقبل تقارير وبيانات المستخدمين هو 159.65.124.226

صورة: رقم الـ IP الخاص بالسيرفر

قمنا باستخدام تلك المعلومة لعمل Directory bruteforcing أو هجوم تخميني لاكتشاف أي محتوى حساس، ولكننا اكتشفنا الأسوأ.

فقد نسي مطور التطبيق صفحة تقوم بعرض معلومات حساسة عن السيرفر، وبسهولة تمكننا من معرفة عدد المستخدمين النشطين على السيرفر في الوقت الحالي.

صورة: صفحة الـ Nginx_status متروكة بدون حماية

 وبدلًا من جعل تلك المعلومات خاصة فقط بالفريق المطور للتطبيق،  نسى المطور صفحة الـ Nginx_status  بدون حماية.

هل يمكن الاعتماد على برنامج VPN صيني الأصل؟

فيما يخص حماية المعلومات، يفضل الكثير من المستخدمين الابتعاد عن أي شركة مرتبطة بالصين، السبب ببساطة هو أن الحكومة الصينية أحيانًا كثيرة تطلب من الشركات توفير بيانات ومعلومات المستخدمين، ويجب عليهم التعاون لتجنب الدخول في أي مشاكل وصراعات مع الحكومة الشيوعية في الصين. أثناء تجربتنا لتطبيق VPN Proxy Master قمنا بالبحث عن السيرفر الذي يقدمه التطبيق في سويسرا في موقع شودان. وقد وجدنا أن بروتكول الـ http الخاص بالسيرفر يتم إعادة تحويله على موقع بهذا النطاق https://video.himobi.me/ .

صورة: البحث عن السيرفر الموجود في سويسرا على موقع شودان

وعند تصفح ذلك الموقع وجدنا أن جميع صفحاته باللغة الصينية.

تذكر أنه من الأفضل دائمًا اختيار خدمة VPN تقع في مكان غير مطالب قانونيًا بإرسال معلوماتك الشخصية والتدخل فيها باستمرار.

اختيارك لاستخدام برنامج VPN أثناء التصفح يعني أنك تريد حماية قصوى لبياناتك. تتحقق تلك الدرجة من الحماية عن طريق برنامج لا يحتفظ ببياناتك، ويعمل على تشفيرها بشكل موثوق، ولا يخضع لأي سلطات قانونية تطالبه بتسليم جميع بياناتك أولًا بأول.

لا تحقق الخدمة التي يقدمها برنامج VPN Proxy Master أيًا من تلك المعايير. على العكس، فهي تقوم باستخدام بياناتك لأغراض تجارية، تجعل من بياناتك منتجًا تبيعه لمن يحقق لها أكبر منفعة.

تعليق واحد

زر الذهاب إلى الأعلى
إغلاق
إغلاق