Theo TechRadar, một nghiên cứu vừa công bố một sự thật gây chấn động về hơn 20 ứng dụng VPN phổ biến, trong đó có cả những cái tên như Turbo VPN, VPN Proxy Master, X-VPN và XY VPN, thực chất chỉ là các phiên bản khác nhau của cùng một vài công ty mẹ đứng sau. Điều đáng lo ngại hơn là chúng cùng chia sẻ những lỗ hổng bảo mật nghiêm trọng, đặt dữ liệu của hơn 700 triệu người dùng vào tình thế rủi ro.

Hàng loạt ứng dụng VPN được tin dùng thực chất là một, có chung lỗ hổng

Nghiên cứu mang tên 'Hidden Links: Analyzing Secret Families of VPN Apps' đã vạch trần cách 21 ứng dụng VPN hàng đầu trên Google Play Store che giấu mối quan hệ mật thiết với nhau. Người dùng tưởng rằng họ đang lựa chọn giữa các đối thủ cạnh tranh, nhưng thực tế lại là các sản phẩm được vận hành bởi cùng ba công ty 'họ hàng' bí mật.

Hơn 20 ứng dụng VPN trên Google Play thực chất là cùng công ty mẹ ẢNH: CHỤP MÀN HÌNH PCWORLD

Sự thiếu minh bạch này không chỉ tạo ra một 'ảo giác' về sự lựa chọn ứng dụng mà còn dẫn đến một mối nguy hiểm tập thể. Vì các ứng dụng này dùng chung mã nguồn và cơ sở hạ tầng, một khi phát hiện lỗ hổng trên một ứng dụng, rất có thể toàn bộ ứng dụng khác trong cùng một 'nhà' cũng gặp vấn đề tương tự.

Các chuyên gia đã chỉ ra những rủi ro cụ thể có thể ảnh hưởng trực tiếp đến người dùng, bao gồm:

Thông tin đăng nhập được nhúng thẳng vào tệp ứng dụng, cho phép kẻ tấn công dễ dàng trích xuất để giải mã lưu lượng truy cập của người dùng.

Nhiều ứng dụng sử dụng các giao thức mã hóa yếu kém, có thể bị bẻ khóa.

Người dùng có nguy cơ bị theo dõi và đánh cắp thông tin ngay cả khi đã bật VPN, do các lỗ hổng trong giao thức kết nối.

Nghiên cứu cũng gióng lên hồi chuông cảnh báo về quy trình kiểm duyệt lỏng lẻo của các cửa hàng ứng dụng như Google Play. Hệ thống của họ chỉ tập trung vào việc phát hiện mã độc mà bỏ qua việc thẩm định quyền sở hữu và các lỗ hổng bảo mật dùng chung. Điều này đã vô tình tạo điều kiện cho các 'đế chế' VPN ngầm này phát triển và lan rộng mà không bị kiểm soát.

Các nhà nghiên cứu khuyến nghị các cửa hàng ứng dụng nên áp dụng các biện pháp xác minh danh tính nhà phát triển và yêu cầu một 'huy hiệu nhận dạng' đã được đánh giá bảo mật bắt buộc để bảo vệ người dùng khỏi những mối đe dọa tiềm ẩn.