Araştırmalar Surfshark, TurboVPN ve VyprVPN’in riskli kök sertifikalar yüklediğini ortaya koyuyor

Güvenlik tasarımı kusuru, gözetim saldırılarının yolunu açıyor

Surfshark, TurboVPN ve VyprVPN dahil olmak üzere birçok tanınmış VPN sağlayıcısı, potansiyel olarak kullanıcı güvenliğini baltalayan riskli bir uygulama için çağrılan altı marka arasındadır.

Güvenlik araştırma firması AppEsteem, sağlayıcıların uygulamalarının kullanıcıların cihazlarına güvenilir bir kök sertifika yetkilisi (CA) sertifikası yüklediğini ve hatta bazı sağlayıcıların bunu yapmak için kullanıcıların onayını almadığını tespit etti.

AppEsteem kısa süre önce programını VPN sağlayıcılarını içerecek şekilde genişletti ve tüketicilere zarar verebilecek aldatıcı ve riskli davranışları aramak için VPN uygulamalarını araştırdı.

Yararlı uygulamalar değil

AppEsteem ayrıca popüler VPN sağlayıcısı Surfshark’ın, kullanıcı kurulumu iptal etse bile kök CA sertifikasını kullanıcının cihazına yüklediğine dikkat çekti. Surfshark, “yalnızca IKEv2 protokolünü kullanarak VPN sunucularına bağlanmak için” açıklamasıyla kendi güvenilir kök sertifikasının kullanılmasından açıkça bahseder.

Ek bir güvenilir kök sertifika yüklemenin riskleri nelerdir?

Kök CA sertifikaları, yazılımda ve İnternette kimlik doğrulama ve güvenliğin temel taşıdır. Sertifikalı bir yetkili (CA) tarafından verilirler ve esasen yazılım/web sitesi sahibinin söyledikleri kişi olduğunu doğrularlar.

Ek bir kök CA sertifikasının yüklenmesi, tüm yazılım ve iletişimlerinizin güvenliğini potansiyel olarak zayıflatır. Cihazınıza yeni bir güvenilir kök sertifika eklediğinizde, üçüncü tarafın cihazınıza veya cihazınızdan aktarılan hemen hemen her türlü veriyi toplamasını sağlarsınız.

Ayrıca, güvenilir bir kök sertifika yetkilisine ait özel anahtarı ele geçiren bir saldırgan, kendi amaçları için sertifikalar üretebilir ve bunları özel anahtarla imzalayabilir.

Bu yazılım uygulamaları, web siteleri ve hatta e-posta için geçerlidir. 2021’de Moğolistan’da ve 2020’de CA’ların güvenliğinin ihlal edildiği Vietnam’da yapılan saldırılarla gösterildiği gibi, kötü amaçlı yazılım yüklemeye kadar her şey mümkündür.

Root CA sertifikalarının bir kullanıcının cihazı üzerindeki gücü, Rusya gibi devlet aktörlerinin vatandaşları yeni kök CA’larını kurmaya zorlamalarının nedenidir.

Kullanıcı cihazlarına kök CA sertifikaları yüklediği tespit edilen altı VPN sağlayıcısı Surfshark, Atlas VPN, VyprVPN, VPN Proxy Master, Sumrando VPN ve Turbo VPN’dir. Listedeki daha iyi bilinen sağlayıcılardan Surfshark ve Atlas VPN, kısa süre önce NordVPN’in ana şirketi Nord Security’ye katıldı. Ancak NordVPN, belirtilen sağlayıcılar arasında değildi.

Bir VPN şirketi neden güvenilir bir kök sertifika yüklemek ister?

Bunun IKEv2 uyumluluğu için bile gerekli olduğuna inanmıyoruz ve en yüksek puanlı VPN’lerin çoğu bunu yapmıyor.

Bu VPN sağlayıcısının en kötü senaryoda, esasen tüm trafiğinize müdahale etmesini ve izlemesini mümkün kılar.