إكتشاف ثغرة أمنية خطيرة في Super VPN واحد من أفضل تطبيقات الـ VPN المجانية. هل أنت أحد العملاء؟ احذف التطبيق الآن!
إكتشاف ثغرة أمنية خطيرة في Super VPN واحد من أفضل تطبيقات الـ VPN المجانية. هل أنت أحد العملاء؟ احذف التطبيق الآن!

أثار تطبيق Super VPN مؤخرا الكثير من الجدل على خلفية صدور قرار من شركة Google في السابع من شهر أفريل بحذفه نهائيا من متجر Google Play وذلك بعد التأكد من احتوائه على ثغرة أمنية خطيرة تسمح للمتسللين باعتراض الاتصال بين الخادم والعميل وإعادة توجيه كل حركة المرور إلى خوادم أخرى ضارة بدل خوادم الـ VPN.
يعد Super VPN من أكثر مزودي خدمة الشبكات الإفتراضية الخاصة رواجا إذ يعد إلى الآن أكثر من 100 مليون تحميل. إرتفعت التنزيلات في أول شهرين من سنة 2020 فقط بنسبة 100% وهذا على الأرجح بسبب أزمة كورونا. لنقرب الصورة إلى الأذهان ونضع الأمور في إطارها، عدد تنزيلات هذه الخدمة يعادل عدد تنزيلات تطبيقات مشهورة مثل: Amazon و Ali Express.
أنظر الصور أدناه:

يبدو كذلك أن أغلب العملاء راضون عن مستوى الخدمة لأن معدل تقييم التطبيق 4.5/5 وقد قام بالتقييم أكثر من 980 ألف مستخدم. فهل يمكن أن يكون كل هؤلاء مخطئين؟ ربما ليس الأمر بهذه البساطة فسيايسات تحيل Super VPN أثبتت نجاعتها في التلاعب بالعملاء. أنظر التفاصيل

الرحلة من إكتشاف الثغرات إلى الحذف من Google Play، وماذا بعد؟
أجمعت تقييمات مواقع مراجعات الـ VPN الموثوقة منذ 2019 على أن الخدمة لا تستحق هذا الرواج وأن سياساتها الأمنية غامضة ومثيرة للشكوك. يرى Techradar أن التطبيق يتطلب أذونات حساسة وسياسة خصوصيته مريبة لذا من المستحيل أن يوصي به حتى لأبسط المهام. أما كاتب مراجعة Review VPN، فيقول أنه لن يقوم بتنزيل Super VPN حتى لو دفعت له للقيام بذلك.
بناء على أراء هؤلاء المختصين وغيرهم فإن قرار حذف Super VPN لم يكن مفاجئا.
بدأت إنتقادات مستوى أمان Super VPN منذ سنة 2016 حين نشرت مقالة بحثية أسترالية بعنوان “SuperVPN واحد من أكثر شبكات الـ VPN المجانية إحتواء على برامج ضارة“. لم يكن التطبيق حينها يعد أكثر من 1000 تثبيت فلم تلق المقالة الإهتمام اللازم.
نشرت بعد ذلك العديد من المراجعات التي تشكك في مستوى أمان Super VPN ولكنها لم تكن بالدقة العلمية التي تسمح باعتمادها لحذف الخدمة أو صرف إقبال العملاء عليها.
في جانفي 2019، طور خبراء VPN Pro إثبات مفهوم لهجوم الرجل الوسيط (Man in the Middle Attack) و قاموا باختباره على أكثر 10 تطبيقات VPN شهرة على Google Play وأبرزها Super VPN و Best Ultimate VPN.
قام باحثو VPN Pro بمشاركة الثغرات مع مطوري تطبيقات الـ VPN التي تم اختبارها في أكتوبر 2019 وتم إمهالهم فترة 90 يوما لإصلاحها قبل رفع الأمر إلى Google Play.
للأسف لم يتجاوب منهم سوى Best Ultimate VPN والذي بادر إلى تعديل التطبيق بناء على المعلومات التي قدمها الفريق ولم يرد أي من مزودي الخدمة الآخرين بما في ذلك Super VPN.
تم إعلام فريق Google Play بالثغرات في شهر فيفري ولم يتم إتخاذ أي إجراء بحق Super VPN حتى شهر أوائل شهر أفريل ومع ذلك فقد أكد Google تواصل وجود نفس الثغرات حتى في أحدث إصدارات في مارس 2020.
حاول فريق VPN Pro بالتعاون مع Google الإتصال بـ SuperSoftTech (الشركة المطورة لـ Super VPN) على أمل أن يصلحوا الثغرة ويحموا عملائهم ولكن هذه المجهودات باءت بالفشل.
وفي السابع من شهر أفريل، أصدر Google قرارا بحذف Super VPN من Google Play بعد ثبوت وجود الثغرة الأمنية وعدم تدخل المطورين لإصلاحها.
أردنا التأكد من الأمر فقمنا بالبحث عن التطبيق في متجر Google Play ولكننا فوجئنا بأن التطبيق لا يزال موجودا.

اتصلنا بفريق دعم Google Play للتحري عن المسألة. أعلمنا مرشد العملاء أنه قد تم إصلاح الثغرة لذا عاد التطبيق إلى المتجر ولكنه لم يتمكن من مدنا بأي معلومات إضافية حول تاريخ إلغاء الحظر أو غير ذلك من المعلومات التقنية.
للحصول على تفاصيل أكثر، أشار علينا مرشد الحرفاء بالإتصال بمطور التطبيق. انظر صورة المحادثة أدناه.
فعلنا ذلك ولكننا لم نلقى رادا.

في قسم معلومات عن التطبيق في متجر Google Play وتحديدا تحت تبويب ما الجديد، يذكر التطبيق إصلاح مشاكل أمنية ولكن دون أي تفاصيل عن نوع الثغرة أو الإصلاح. انظر الصورة 4. يشير هذا التبويب أيضا إلى أن آخر تعديل للتطبيق كان بتاريخ 10 أفريل أي 3 أيام بعد إعلان الحذف. يبدو أن فريق Super VPN لا يقوم بأي مبادرة إلا عند وقوع المصيبة.

يجب التنويه إلى أن الخلل الأمني الذي حصل في Super VPN حتى وإن تم الآن إصلاحه ليس هينا لأنه يسمح للمخترقين برؤية كل شيئ يقوم به المستخدم وهذا بالضبط عكس ما يجب على الـ VPN أن تفعله. إذ من المفترض أن تخفي شبكة الـ VPN أنشطتك عن عيون المتطفلين بل يجب أن تكون آمنة بحيث يستغرق المهاجم آلاف السنين لفك تشفير بياناتك إن تمكن من تجاوز الجدار المناعي. أنظر تشفير NordVPN، ExpressVPN و Cyberghost.
لهذه الفجوة الأمنية تبعات كارثية فهي قد عرضت بيانات 105 مليون مستخدم للخطر. يمكن أن يتعرض المستخدمون إلى سرقة بيانات بطاقاتهم الأمنية. يمكن أيضا أن يتم تداول وحتى بيع صورهم وفيديوهاتهم الشخصية. كل محادثاتهم الخاصة يمكن أن تسجل ويتم إرسالها إلى خادم في موقع مجهول. كل هذا وغير ذلك الكثير يمكن أن يحصل لمستعملي خدمة بفجوة أمنية خطيرة كهذه. رغم الإدعاء بأن الخلل قد تم إصلاحه فنحن لا نثق بـ Super VPN ولا ننصح بإستعماله.
يبين الرسم البياني التالي كيف يحصل هجوم الوسيط في حال استخدام VPN. الرسم البياني من مقالة VPN Pro.


يكمن الخطر عند تغيير البيانات فحينها يتم إجبارك على الإتصال بخادم خبيث بدل خادم الـ VPN. وبينما يبدو كل شيئ عاديا وتظن أنت أنت تحصل على أقصى درجات الأمان، تكون بياناتك مكشوفة للمخترقين وما يمكن أن يفعل بها يعتمد فقط على خيال المخترق وربما حالته المزاجية حينها.
من وراء Super VPN وما سبب هذا الإقبال الكبير على خدماتها؟ حاذر من المحتالين!
عدد كبير من مزودي خدمة الـ VPN الوهميين تحت إسم Super VPN
كان هدفنا الأول من هذه المقالة هو كتابة مراجعة عن Super VPN، مزود خدمة VPN مجانية. عندما بدأنا البحث فوجئنا بالعدد الضخم لمزودي الخدمة الذين يحملون الاسم نفسه. عند كتابة Super VPN على متصفح Google، ظهرت لنا خدمة Super VPN هذه. أنظر الصورة 9.

يبدو أن هذه الخدمة قديمة ومعروفة ولكنها لم تعد متوفرة الآن حسب مراجعة VPN Mentor. انظر الصورة 10.

الغريب أنه لا توجد أي إشارة لإلغاء الخدمة على موقع Super VPN وقبل الموقع اشتراكنا وكذلك عملية الدفع دون مشاكل.
رغم ذلك لم نحصل على التطبيق ولم نتمكن من إلغاء الإشتراك لخلل في موقعهم. الموقع لم يطلب منا إنشاء حساب للإشتراك وقبل عملية الدفع دون معرف على الموقع. لا يرد فريق الدعم على ايميلاتنا وخدمة المحادثات النصية المباشرة لا تعمل.

يأتي إيميل إثبات الاشتراك في الصورة 12 مع رابط مرفق لإلغاء الإشتراك لكنه لا يعمل. انظر الصورة 13


لا أحد يرد على تشكياتنا. باختصار نحن نظن أن هذه الشركة محتالة وننصحكم بالإبتعاد عنها وعدم الإشتراك في خدماتها.
أظهرت النتائج كذلك ملحق متصفح ِChrome يحمل نفس الإسم. انظر الصورة 14.

لم نجد أي مراجعات تتحدث عن هذه الخدمة ولا يبدو أنها موثوقة إطلاقا. حاول تجربتها وحصلنا على رسالة الخطأ التالية مع كل الخوادم. أنظر الصورة 15.

نحن نحذر من هذه الخدمة التي لا نعرف شيئا عن سياسة خصوصيتها كما أنها لا تعمل. حاولنا الدخول إلى موقع الويب الخاص بالخدمة وهذا ما ظهر لنا. المفروض أن إسم الخدمة Super VPN. ما يوجد في الموقع لا علاقة له بملحق المتصفح إطلاقا.

لم يكن الأمر أفضل بكثير بالنسبة لتطبيقات Android إذ يكفي أن تكتب Super VPN في خانة بحث Google Play ليظهر لك الآتي. تطبيقات مختلفة بشعارات مختلفة كلها تحمل إسم Super VPN.

ليس هذا فقط، فقد وجدنا تطبيقا باسم Super VPN يمكن شراؤه عن طريق Amazon. لا نعلم إن كان التطبيق شرعيا ولكننا نؤكد على ضرورة الحذر الشديد عن تنزيل أي من هذه التطبيقات. لا توجد أي مراجعات بشأن هذا التطبيق.
باختصار، لا توجد أي علامة تجارية مسجلة بإسم Super VPN وأغلب الذين يستعملونه يعتمدون على أن كلمة Super قد يستعملها البعض عند بحثهم كصفة للخدمة الممتازة لا كإسم لمزود معين. يجب الحذر الشديد عند إختيار أي من هذه الخدمات المجانية.
من وراء Super VPN Free VPN Client؟ وماهو مستوى الخدمة؟
مطور خدمة Super VPN هو شركة SuperSoftTech والتي تدعي أنها متواجدة في سنغافورة ولكنها في الحقيقة على ملك مطور برامج مستقل يدعى Jinrong Zheng وهو على الأرجح صيني مستقر في بكين على حسب مراجعة VPN Pro.
طورت الشركة إلى الآن 3 تطبيقات وهي:
- SuperVPN
- VPN Payment Tool
- LinkVPN
لم نجد تطبيق VPN Payment Tool على متجر Android ويشير اسم المطور إلى FuryWeb Tech بدل SuperSoftTech في LinkVPN ولكن مراجعة VPN Pro تقول أن الاسمين لنفس المطور.
بحثنا عن عنوان البريد المدرج تحت عنوان المطور لـ Super VPN ووجدناه في هذه الصفحة مع عنوان في بكين. انظر الصورة 18

حملنا تطبيق Super VPN وإختبرناه بعجالة لنرى ما الذي يمكن أن يشد المستخدمين إليه إلى هذه الدرجة والخلاصة كما يلي:
- واجهة الإستخدام بسيطة وسهلة الإستعمال ولكنها تحتوي فقط على الأساسيات
- يمكن التطبيق من الاتصال بخوادم في 9 مواقع مختلفة. لا يوجد أي خادم في إفريقيا
- تراجعت سرعة التنزيل والرفع بمعدل 27% وهي نسبة جيدة ولم نجد أي تسريبات DNS.
- التطبيق يتطلب أذونات حساسة جدا
- التشفير وبروتوكولات الأمان والخصوصية غامضة ومثيرة للشكوك
- لم يعمل Netflix US أو Netflix UK وكذلك BBC iplayer وDinsey+
- تظهر الكثير من الإعلانات المزعجة
- لم يتم الكشف عن هويتنا أثناء التصفح

مستوى الخدمة عموما متوسط جدا وغير آمن ولو كنا نكتب مراجعة معمقة فإننا لن نوصي بهذه الخدمة أبدا. فما هو السبب وراء العدد الضخم من التحميلات؟
تلاعب بخوارزميات Google Play لكسب التنزيلات
هذا التحليل مبني أساسا على مقالة VPN Pro بعنوان: “كيفية التغلب على خوارزميات Google Play للحصول على 280 مليون تثبيت”.
لاحظ كاتب المقالة أن أول 10 نتائج بحث في Google Play بالكلمة المفتاحية “vpn” لا تظهر أفضل مزودي الـ VPN في السوق مثل NordVPN و ExpressVPN بل مزودي خدمة VPN مجانية وبين الكاتب أن هذه التطبيقات نالت أسبقية في الترتيب بأساليب ملتوية سنقوم بشرحها باختصار.
أغلب هذه التطبيقات التي تتصدر الترتيب في Google Play، لديها شعبية محدودة جدا خارج Google Play. أردنا التأكد ما إذا كان الأمر ينطبق على Super VPN التطبيق الذي نكتب عنه.

يبدو أن حضور Super VPN خارج Google Play محدود جدا مقارنة بمزودي الـ VPN الرائدين في السوق بالرغم من أن كلمة بحث Super VPN تضم أكثر من مزود خدمة VPN لا علاقة بينهم ما يرجح إحتمال أن وجوده في أعلى الترتيب على Google Play قائم على استغلال ثغرة في خوارزمية الترتيب.
تتلخص الإستراتيجيات المتبعة في الآتي:
- إستخدام عدد كبير من المراجعات المزيفة: أفضل 10 تطبيقات للكلمة الرئيسية “vpn” تحتوي على عدد قليل من الكلمات لكل تعليق ، والكثير من المراجعات المتكررة ، وكذلك مراجعات كثيرة من مستخدمين مخفيين.
- استخدام تكتيكات الروابط السوداء من أجل تعزيز حضورهم ، بغض النظر عن صلة الرابط بالموضوع
- حشو الكلمة الرئيسية المستهدفة في معرف التطبيق وعنوانه ووصفه
سنفرد هذا مقالة خاصة ولكن بإمكاننا أن نؤكد أن Super VPN يستعمل هذه الطرق وأن ترتيبه في Google Play ليس طبيعيا.
الخلاصة:
حتى وإن تمت إعادة التطبيق إلى Google Play بعد إصلاح الثغرة الأمنية فنحن ننصح وبشدة بعدم تحميله لأنه غير موثوق ويستعمل أساليب مريبة. وأيضا لا نظن أن مستوى الخدمة يستحق هذه المخاطرة. عموما ننصحك بعدم تحميل أي VPN تحت اسم Super VPN إذ لا يبدو أن أيها موثوق. عموما وعند إختيار مزود VPN تأكد من الآتي:
- هل تعرف مطور VPN أو علامته التجارية؟ هل تبدو جديرة بالثقة؟
- أين يقع الـ VPN؟ هل هو في بلد صديق للخصوصية؟
- بالنسبة لتطبيقات الجوال ، ما هي الأذونات التي تتطلبها؟ هل يحتاج التطبيق بالفعل إلى تلك الأذونات للعمل (مثل الكاميرا ، ونظام تحديد المواقع ، والميكروفون)؟
هناك عدد قليل جدا من شبكات الـ VPN التي تستحق الثناء فاحذر جيدا عندما تختار أو تلافى الخطر وإشترك مع أحد مزودي الخدمة غير المجانية المضمونين مثل Express VPN أو NordVPN.