هل استخدام VPN Proxy Master آمن؟
تعرّف في هذه المراجعة الشاملة على مخاطر استخدام البرنامج والثغرات التي اكتشفناها خلال الاختبارات.
في وجود أكثر من 10 مليون تحميل لبرنامج VPN Proxy Master، وبتقييم 4.6 من قبل نصف مليون مستخدم على Google Play هل يمكن التشكيك في هذا التطبيق؟ في الحقيقة يعد VPN Proxy Master (في بي ان بروكسي ماستر) من أكثر برامج الـ VPN المجانية شيوعًا بين مستخدمي الأندرويد، والويندوز، وأجهزة Mac، و iOS. فيما يتعلق ببرامج الـ VPN المجانية، فإن الشعبية لا تعني بالضرورة جودة التطبيق. وإن عنت ذلك فعليك أن تسأل عما يأخذه البرنامج في المقابل لتقديم تلك الخدمة.
لقد قمنا باختبار برنامج VPN Master Proxy، ووجدنا أنه من أكثر البرامج خطورة، وبه عدد من الثغرات الأمنية يجعل بياناتك مراقبة باستمرار. في هذه المراجعة نقدم لك سببًا واضحًا يجعلك تقوم بمسح ذلك التطبيق على الفور.
الاسم | VPN PROXY MASTER |
الشركة المصنعة | Allconnected |
بلد التطبيق | الصين |
سنة الإنشاء | 2015 |
البريد الالكتروني لمطور التطبيق | [email protected] |
عدد السيرفرات | 6000 |
عدد البلدان | 40 |
نقدم لكم الطريقة التي اتبعها فريقنا لمراجعة تطبيق VPN Proxy Master:
قمنا بتحليل برمجي للتطبيق يهدف لمعرفة ما إذا كان التطبيق يحتفظ ببيانات المستخدمين ويخزنها في السيرفرات المركزية الخاصة به أم لا.
يشمل هذا التطبيق ركنين رئيسيين:
- جمع وتحليل المعلومات المتعلقة بالتطبيق.
- تحليل التطبيق تقنيًا.
1. جمع وتحليل المعلومات الخاصة بالتطبيق:
قمنا بجمع كافة البيانات المتعلقة بالتطبيق مثل هوية مطور التطبيق لمعرفة التكنولوجيا المستخدمة أثناء تطوير التطبيق ومسار العمل الخاص به.
كان من المتوقع أن نجد بسهولة اسم مطور التطبيق مدرج في الصفحة الخاصة بتحميل التطبيق. ولكن الأمر المدهش أن عملية الوصول لاسم مطور البرنامج كانت مهمة مستحيلة!
فلم نجد سوى بريد المطور الإلكتروني في أحد الإصدارات القديمة للتطبيق على موقع (سي نت) ومعها اسم الشركة المصنعة (all connected)
حاولنا الوصول لبيانات أكثر عن مطور التطبيق عن طريق استخدام الموارد مفتوحة المصدر لنجد أن ذلك البريد الالكتروني لم يعد له وجود. وهناك محاولة من أصحاب التطبيق لعدم ربط الايميل بالتطبيق من قريب أو من بعيد.
حاولنا البحث عن الايميل عن طريق البحث في النطاق (الدومين) الخاص بالشركة http://www.allconnected.co/. ولكن لم يقدم الموقع أية معلومات جديدة لذلك انتقلنا إلى الخطوة التالية وهي استكشاف الموقع الخاص بالتطبيق وجمع كافة النطاقات (domains) الفرعية الخاصة بالموقع.
2. تحليل تطبيق VPN Master تقنيًا:
هنا نحاول معرفة كيف يعمل التطبيق بشكل تقني، وكيف يتعامل مع السيرفر المركزي.
أولًا، ولمعرفة أدق وأكثر تفصيلًا عن كيفية عمل التطبيق، نبدأ بتحليل النطاقات الفرعية للسيرفر المركزي.
اكتشاف ثغرة في المدونة الخاصة بموقع VPN Proxy Master:
وجدنا أن أحد تلك النطاقات يسمى Blog.vpnproxymaster.com، وهو أحد المواقع التي صممت باستخدام وورد بريس.
بعدها حاولنا معرفة عدد المستخدمين لهذا الموقع، وما هي أسماءهم.
وكانت النتيجة مثيرة للاهتمام، وهي أن عدد المستخدمين اثنين فقط، وأسمائهم كالتالي:
Firstcom | Admin |
admin | Dm inconnecting |
لم يكن غرضنا من هذا التحليل اكتشاف ثغرات تخص المدونة، ولكن وجود تلك الثغرات يجعل من المنطقي أن تثار الشكوك حول خدمة VPN Proxy Master. وفيما يخص المدونة فهي تتيح إرسال أوامر إلى ملف اسمه Xmlrpc.php.
اكتشاف ملفات موجودة لرفع بيانات المستخدمين إلى السيرفر الرئيسي:
أثناء بحثنا في النطاقات الفرعية لموقع تطبيق VPN Proxy Master، وجدنا نطاقات تسمح برؤية الملفات الداخلية لديها.
أحد تلك الملفات كان باسم Upload.php. ومن الواضح أن ذلك الملف يقوم برفع الملفات إلى السيرفر الرئيسي.
عند فتح التطبيق على الأندرويد، لم يبد أن البرنامج يحتفظ بأي بيانات أو يرسلها لأي سيرفر آخر. عندما أوقفنا الاتصال مع السيرفر، وقتها تم إرسال بيانات الآي بي IP واسم البلد واسم مزود الخدمة والعديد من البيانات الأخرى. وكان اسم الملف المسئول عن استقبال هذه البيانات Report.php. أي أنه قد تم برمجة التطبيق على إرسال تقارير عن بيانات المستخدمين. البيانات التي من المفترض أن يقوم برنامج الـ VPN بتشفيرها وعدم الاحتفاظ بها، ناهيك عن استخدامها.
وهذا دعانا للتساؤل هل يقوم الملف Upload.php – الذي ذكرناه مسبقًا – بفعل نفس الشئ ولكن مع بيانات أكثر خصوصية كالصور الخاصة بالمستخدمين.
اكتشاف ثغرة أمنية أخرى في تطبيق VPN Proxy Master :
في هذه الصورة، نجد أن رقم الـ IP الخاص بالسيرفر الذي يستقبل تقارير وبيانات المستخدمين هو 159.65.124.226
قمنا باستخدام تلك المعلومة لعمل Directory bruteforcing أو هجوم تخميني لاكتشاف أي محتوى حساس، ولكننا اكتشفنا الأسوأ.
فقد نسي مطور التطبيق صفحة تقوم بعرض معلومات حساسة عن السيرفر، وبسهولة تمكننا من معرفة عدد المستخدمين النشطين على السيرفر في الوقت الحالي.
وبدلًا من جعل تلك المعلومات خاصة فقط بالفريق المطور للتطبيق، نسى المطور صفحة الـ Nginx_status بدون حماية.
هل يمكن الاعتماد على برنامج VPN صيني الأصل؟
فيما يخص حماية المعلومات، يفضل الكثير من المستخدمين الابتعاد عن أي شركة مرتبطة بالصين، السبب ببساطة هو أن الحكومة الصينية أحيانًا كثيرة تطلب من الشركات توفير بيانات ومعلومات المستخدمين، ويجب عليهم التعاون لتجنب الدخول في أي مشاكل وصراعات مع الحكومة الشيوعية في الصين. أثناء تجربتنا لتطبيق VPN Proxy Master قمنا بالبحث عن السيرفر الذي يقدمه التطبيق في سويسرا في موقع شودان. وقد وجدنا أن بروتكول الـ http الخاص بالسيرفر يتم إعادة تحويله على موقع بهذا النطاق https://video.himobi.me/ .
وعند تصفح ذلك الموقع وجدنا أن جميع صفحاته باللغة الصينية.
تذكر أنه من الأفضل دائمًا اختيار خدمة VPN تقع في مكان غير مطالب قانونيًا بإرسال معلوماتك الشخصية والتدخل فيها باستمرار.
اختيارك لاستخدام برنامج VPN أثناء التصفح يعني أنك تريد حماية قصوى لبياناتك. تتحقق تلك الدرجة من الحماية عن طريق برنامج لا يحتفظ ببياناتك، ويعمل على تشفيرها بشكل موثوق، ولا يخضع لأي سلطات قانونية تطالبه بتسليم جميع بياناتك أولًا بأول.
لا تحقق الخدمة التي يقدمها برنامج VPN Proxy Master أيًا من تلك المعايير. على العكس، فهي تقوم باستخدام بياناتك لأغراض تجارية، تجعل من بياناتك منتجًا تبيعه لمن يحقق لها أكبر منفعة.
تحية وتقدير كبير للمجهود والتحليل.