| 20 апр 2022 — 5:02 утра по тихоокеанскому времени
Surfshark VPN — один из шести популярных сервисов виртуальных частных сетей, не прошедших тесты безопасности, причем многие другие не прошли так называемые «децепторные» тесты…
TechRadar сообщает.
Несколько известных VPN-провайдеров — включая Surfshark, TurboVPN и VyprVPN — входят в число шести брендов, которых обвиняют в рискованной практике, потенциально подрывающей безопасность пользователей.
В рамках своей программы Deceptor исследовательская фирма в области безопасности AppEsteem обнаружила, что приложения провайдеров устанавливают на устройства пользователей доверенный сертификат корневого центра сертификации (CA), причем некоторые провайдеры даже не получают согласия пользователей на это […]
Эксперт по безопасности TechRadar Pro Майк Уильямс заявил: «Установка доверенных корневых сертификатов — это плохая практика. «Если он будет скомпрометирован, это может позволить злоумышленнику подделывать другие сертификаты, выдавать себя за другие домены и перехватывать ваши коммуникации».
Это довольно вопиющий недостаток в продукте, специально предназначенном для того, чтобы вам не приходилось доверять сторонним компаниям, таким как интернет-провайдеры, для защиты вашей конфиденциальности.
Когда VPN-провайдер устанавливает дополнительный сертификат корневого центра сертификации, вы полагаетесь только на шифрование и проверки подлинности провайдера, поскольку доверенный корневой сертификат может перезаписать шифрование и проверки подлинности фактического сервиса, который вы используете (например, Mozilla Firefox, WhatsApp).
В худшем случае это позволяет VPN-провайдеру перехватывать и отслеживать практически весь ваш трафик.
SharkVPN заявляет, что работает над устранением необходимости в сертификате.
AppEsteem работает над выявлением приложений, которые участвуют в «обманчивых и рискованных действиях, которые могут навредить клиентам». Количество VPN-сервисов, не прошедших эти тесты, обширно.
Мнение 9to5Mac
Суть VPN в том, что ваша конфиденциальность и безопасность защищены, даже когда сторонние компании — такие как интернет-провайдеры или поставщики Wi-Fi точек доступа — не могут быть доверенными в отношении сомнительных практик.
Проблема в том, что вместо этого вы доверяете самому VPN-сервису. Бесплатные VPN-сервисы особенно сомнительны, поскольку они, вероятно, нацелены на получение данных в своих собственных целях. Но важно проявлять осторожность даже при выборе платного сервиса. Ключевые моменты, на которые стоит обратить внимание: отсутствие журналов (zero logs) и независимые аудиты заявлений компании о безопасности. Лично я использую NordVPN, один из немногих VPN-сервисов, отвечающих этим критериям.