Alfonso Maruccia

VPN su Android, di 283 app testate solo una è sicura

Uno studio mette alla berlina la presunta sicurezza delle app VPN disponibili su Android, un mercato che promette molto ma che, rivelano i ricercatori, mantiene veramente poco

Roma - Un team di ricerca internazionale ha pubblicato un'analisi comparata di circa 300 app Android pensate per l'accesso su reti VPN (Virtual Private Network), un'offerta utilizzata da centinaia di milioni di utenti senza però la piena consapevolezza dei rischi a cui vanno incontro. Quelle app sono insicure, nella migliore delle ipotesi, e di servizi validi ce ne sono davvero pochissimi. Anzi uno.

I ricercatori australiani e statunitensi che hanno partecipato allo studio hanno messo sotto torchio 283 app per l'accesso su VPN, analizzandone il codice sorgente e il comportamento pratico nella gestione del traffico di rete dei tool basati sull'uso della tecnologia BIND_VPN_SERVICE.

Le succitate app sono in grado di intercettare il traffico telematico in arrivo e in un uscita su un terminale Android, e secondo i ricercatori si tratta di "privilegi" che vengono sostanzialmente sprecati a causa della mancata cifratura dei dati (18 per cento delle app testate), l'introduzione di codice JavaScript potenzialmente pericoloso per tenere sotto controllo le abitudini di navigazione dell'utente o visualizzare pubblicità, il leaking di traffico su protocollo IPv6 (84 per cento), la presenza di codice identificato come malevolo su VirusTotal (38 per cento) e altro ancora.
Le promesse di privacy, sicurezza e anonimato sono tradite nella stragrande maggioranza dei casi, denunciano i ricercatori; la scarsa sofisticazione tecnologica delle app VPN per Android - quando non si tratta di intenti completamente malevoli come la profilazione del traffico - rappresenta un rischio anche per gli utenti Android meno smaliziati.

Le app VPN su mobile sono quindi tutte da buttare? Quasi: secondo lo studio, uno dei pochi servizi che sembrano mantenere quel che promettono è Freedome VPN, app sviluppata dalla storica società di sicurezza finlandese F-Secure che però richiede il pagamento di una licenza annuale da 49,90 euro per l'utilizzo su tre dispositivi diversi basati su Android, Windows, OS X o iOS.

Alfonso Maruccia
Notizie collegate
43 Commenti alla Notizia VPN su Android, di 283 app testate solo una è sicura
Ordina
  • Si sapeva.... Specialmente per le vpn free.
    te lo dicono anche in anticipo alcune, tipo la VPN di opera, dove ti dice che il traffico verrà sniffato per poi poterlo utilizzare in pubblicità, è il costo da pagare per averlo freeOcchiolino .

    A questo punto c'è da scegliere se farsi sniffare il traffico da chi sta attaccato agli internet point pubblici ( di solito la vpn la usi per quello, per non parlare del mascheramento ip) , o farsela sniffare dalla società che sta dietro la vpnOcchiolino

    A questo punto direi che almenochè non devi fare atti criminosi e cerchi l'anonimato.... la propria connessione del telefono (SIM) è la più sicura.
    non+autenticato
  • il titolo (che per i macachi e' equivalente al contenuto della ricerca) "di 238 app solo una si salva" e' cosi' distorto in cosi' tanti punti, rispetto ai dati della ricerca ,da poterla considerare una fake news. beneSorrideCon la lingua fuori

    La ricerca anche se un po' ruspante e limitata (come stessa ammissione loro, del resto han preso in considerazione molta roba e molti aspetto) e' molto densa di cose ed e' molto interessante e svaccarla cosi non va bene.Con la lingua fuori
    Farci un post e' impox... se aphex_twin mi paga un articoloA bocca aperta per analizzarla bene, se no amenSorride

    dico solo 3 cose laterali, stringate:
    - il "leak ipv6" e' in generale piu' una supercazzola che una minaccia (avrai un po' di rumore del linklocal/multicast al max. certo -come TUTTO- dipende dal tuo threat model. se pensi di essere aggredito dal tuo AP..). Tra l'altro mi son sempre chiesto che ci fa up, l'ipv6, dato che al 99% non serve.

    - Il DNS hijack e' piu' serio. ma, al netto dell'incompetenza e di certe app crapware, la ricerca e' un po buffa, su questo, perche' evidenzia (ossia si lamenta) di 2 cose opposte (come in tutto infatti c'e' un trade-off) ossia del potere delle VPN API di cambiare il dns (e quindi di fare mangling) e del suo contrario (ossia che non lo cambino e cosi' viene leakato uscendo dal tunnel). Cmq e' vero che troppe app non lo tunnellizzano (si, openvpn opportunamente impostato puo' farlo)

    - il megatest fa riferimento ad un pack di app scaricate a sett 2015. android 5.0 e sopratutto 5.1 han cambiato parecchie cose sulle VPN API. Il 5.1 e' di mid'2015.. quindi al 99% la massa di app testate era tailored per le vecchie API

    Ah un ultima cosa (che forse piace ai macachi) bisogna ammettere che la parte networking di android, che assume la flessibilita' di linux (e le sue stranezze e i suoi bug) con le possibilita' e limitazioni e bug delle API di android, e' nata un po' pasticciata. Nel tempo e' migliorata (ma talvolta anche no. vedasi i pasticci proprio ipv6 sul 4.4 x es, ma tanti altri... i casini sul proxying o sul tethering ecc). Nel 6.0/7.0 non so...
    non+autenticato
  • - Scritto da: bubba
    > il titolo (che per i macachi e' equivalente al
    > contenuto della ricerca) "di 238 app solo una si
    > salva" e' cosi' distorto in cosi' tanti punti,
    > rispetto ai dati della ricerca ,da poterla
    > considerare una fake news. beneSorride
    >Con la lingua fuori
    >

    Non ho nemmeno provato a far notare che c'è una bella differenza tra comportamenti malevoli, tipo l'iniezione di malware, e potenziali problemi di sicurezza, tipo il traffico non cifrato. Un po' perché non sono un mega esperto, un po' perché i macachi hanno letto il titolo, hanno avuto un orgasmo, e adesso sono sordi a qualsiasi osservazione sensata, e infatti aphex_twin sta già sbrodolando la storia delle 283 app insicure sugli altri articoli.
    Ai tempi io cercai articoli comparativi che mi indicassero un fornitore di buona qualità ad un prezzo onesto. Quello che svariati siti consideravano il migliore era VyprVPN, ma alla fine scelsi PureVPN, che aveva offerte più convenienti e caratteristiche simili. Io non uso una VPN per mascherare il mio traffico da casa, ci ricorro solo quando uso un WiFi estraneo, in aeroporto o al ristorante, ad esempio. Le prestazioni non eccelse di PureVPN non mi pesano troppo, non ho bisogno di guardare Netflix o simili, al massimo navigo un po'.
    Però mi piacerebbe capire quanto seri siano gli problemi di sicurezza di questa soluzione (che poi, ribadisco, uso anche su iOS). Su un sito parlano di leak del mio indirizzo IP, che non è un enorme problema per quello che faccio, ma mi piacerebbe conoscere maggiori dettagli, mi informerò con calma. Ovviamente i macachi non vengono nemmeno sfiorati dal dubbio che GLI STESSI servizi possano avere gli stessi problemi su iOS, cosa che potrebbe spingerli a fare ricerche analoghe per la loro stessa sicurezza: a loro interessa solo sputare su Android. Va bè, cavoli loro.
    Izio01
    4255
  • Tutto l'ecosistema degli smartphones e trippa per stolti!

    Le cosiddette app, le sviluppano solo perché c'è un branco di fessi e idioti( dipende dalla marcaCon la lingua fuori )modaioli disposti a mettere qualsiasi porcheria sul proprio giocattolino per dementi!

    Per qualche altro imbecille(macachi?) se prendono il vostro giocattolino in esame, credo che sia pure peggio.Imbarazzato
    non+autenticato
  • Non tutti i mali vengono per nuocere. Il mobile ha attirato a sé tutta quella manica di devz spazzatura che un tempo impestavano il desktop.
    non+autenticato
  • "..rappresenta un rischio anche per gli utenti Android meno smaliziati".
    Solo per loro è un rischio.
    Non mi azzarderei mai a mettere una VPN su Android, in cui tutto il sistema è realizzato per la profilazione dell'utonto, ma molto tonto.
    Anche le VPN per PC sono spesso delle boiate integalattiche, profilatrici e spesso lente, se non paghi; se invece paghi sono più veloci, così ti profilano meglio.
    non+autenticato
  • - Scritto da: bimbo tinka
    > "..rappresenta un rischio anche per gli utenti
    > Android meno
    > smaliziati".
    > Solo per loro è un rischio.
    > Non mi azzarderei mai a mettere una VPN su
    > Android, in cui tutto il sistema è realizzato per
    > la profilazione dell'utonto, ma molto
    > tonto.
    > Anche le VPN per PC sono spesso delle boiate
    > integalattiche, profilatrici e spesso lente, se
    > non paghi; se invece paghi sono più veloci, così
    > ti profilano
    > meglio.

    Purtroppo sono dei creduloni, che credono di poter fare quello che hanno sempre fatto con i loro pc, anche con quelle macro-spie-profilatori che portano h24 in mano o in tasca.

    Illusi! E parlo di qualsiasi smartophonne, nessuno escluso!!

    Solo gli Idioti come Aphex possono credere che il problema riguardi le sole app di android, ma non le app stesse, che nella realtà, solo una manciata fa quello che dice di fare, tutte le altre sono solo trippa per fessi!
    non+autenticato
  • Il controllo incrociato mi fa stare più tranquillo di una sola fonte che non non vuole sentire la parola "dubbio".

    L'informatica non deve essere un atto di fede.

    Ecco perché sto con Android.
    non+autenticato
  • - Scritto da: peter
    > Il controllo incrociato mi fa stare più
    > tranquillo di una sola fonte che non non vuole
    > sentire la parola
    > "dubbio".
    >
    > L'informatica non deve essere un atto di fede.
    >
    > Ecco perché sto con Android.

    Contento tu di stare ed elogiare un sistema dove , nello store ufficiale , hai tutta la libertá di poter scegliere (se vuoi stare al sicuro) una sola delle 283 app VPN a disposizione ... contenti tutti. Ficoso
  • Sapevo che avresti risposto. Ti aspettavo.

    Seriamente, ma come fai a essere sicuro che la Apple si comporta come credi che faccia?

    Senza un controllo non prezzolato, come si fa a credere chi non puoi controllare? Perché non credo che tu hai accesso libero ai segreti di Apple. Penso.

    Signor Oste, com'è il suo vino? Il mio vino è ottimo e nessuno si può permettere di controllare.

    Sulla tecnologia sono profondamente ateo. Non ho Santi.
    non+autenticato
  • - Scritto da: peter
    > Seriamente, ma come fai a essere sicuro che la
    > Apple si comporta come credi che
    > faccia?
    >

    Non lo sono , come non lo sono in generale fino a prova contraria.

    Qui invece c'é la prova provata che nel Play poco é cambiato dalla mia ultima visita , se cerchi un'app devi sbatterti prima a trovare quella "buona" tra le centinaia disponibili.
  • - Scritto da: aphex_twin
    > - Scritto da: peter
    > > Seriamente, ma come fai a essere sicuro che
    > la
    > > Apple si comporta come credi che
    > > faccia?
    > >
    >
    > Non lo sono , come non lo sono in generale fino a
    > prova contraria.
    >

    Te la fornisco io. L'applicazione che uso io ad oggi è multipiattaforma, come la maggioranza di quelle che valutai a suo tempo. Funziona con Android e anche con iOS, il servizio è lo stesso. Ovviamente ne volgio una che funzioni sia con i miei dispositvi Android che col mio iPad.
    Ma forse credi che la versione con iOS si comporti meglio, cifrando il traffico laddove quella per Android non lo fa, eccetera?

    > Qui invece c'é la prova provata che nel Play poco
    > é cambiato dalla mia ultima visita , se cerchi
    > un'app devi sbatterti prima a trovare quella
    > "buona" tra le centinaia disponibili.

    Balla colossale, per nulla rappresentativa della realtà del Play Store.
    "Prova provata" solo per le app VPN, che poi sono le stesse che trovi su iOS, come ho già detto.
    Izio01
    4255
  • Lui parte dall'assunto che tutte le app nell'Apple Store sono sicure fino a prova contraria.

    E tutte quelle nel Play Store sono insicure fino a prova contraria.

    È il ragionamento di chi spegne il giudizio e utilizza una componente affettiva per giudicare un prodotto.
    La mia mamma è buona finché non cerca di avvelenarmi.

    Io non fido a prescindere ma dato che la rete mi è amica, posso cercare, cioè se c'è una app che mi serve ed è critica per la sicurezza, prima di installare ed usare mi faccio un giretto in rete e cerco informazioni più approfondite.

    Ma io non faccio testo. Io mi considero avanti, intelligente, abile.
    Lo sprovveduto mi dirà che sono paranoico o addirittura complottista.
    iRoby
    8840
  • - Scritto da: iRoby
    > Lui parte dall'assunto che tutte le app
    > nell'Apple Store sono sicure fino a prova
    > contraria.
    >

    Hai prove in contrario che dicano il contrario ?

    > E tutte quelle nel Play Store sono insicure fino
    > a prova
    > contraria.
    >

    L'articolo parla del Play dove su una app buona ne hai 283 non buone.

    > È il ragionamento di chi spegne il giudizio
    > e utilizza una componente affettiva per giudicare
    > un
    > prodotto.

    Io giudico i fatti e oggi il fatto che é che tra 284 app solo una é buona. Auguri.

    > La mia mamma è buona finché non cerca di
    > avvelenarmi.
    >
    > Io non fido a prescindere ma dato che la rete mi
    > è amica, posso cercare, cioè se c'è una app che
    > mi serve ed è critica per la sicurezza, prima di
    > installare ed usare mi faccio un giretto in rete
    > e cerco informazioni più
    > approfondite.
    >
    > Ma io non faccio testo. Io mi considero avanti,
    > intelligente,
    > abile.

    Fermati che forse sei TROPPO avanti. Rotola dal ridereRotola dal ridereRotola dal ridere
  • - Scritto da: aphex_twin

    > Hai prove in contrario che dicano il contrario ?

    "analizzandone il codice sorgente"A bocca aperta

    > L'articolo parla del Play dove su una app buona
    > ne hai 283 non
    > buone.

    Ora sostituisci a "Play store" "app store" ,coem fai a dire che non c'è la stessa situazione o anche di peggio ?

    Parola di apple ?A bocca aperta

    > Io giudico i fatti e oggi il fatto che é che tra
    > 284 app solo una é buona.
    > Auguri.

    Ovviamente si può fare un resoconto anche dell'app store,oppu8re ci fidiamo sulla parola perchè lo dice apple ?A bocca aperta
    non+autenticato
  • - Scritto da: aphex_twin
    > Qui invece c'é la prova provata che nel Play poco
    > é cambiato dalla mia ultima visita , se cerchi
    > un'app devi sbatterti prima a trovare quella
    > "buona" tra le centinaia disponibili.

    Nell'Apple Store invece prendi la prima che capita (o magari ne provi due o tre e scegli quella con la grafica più cool), sei sereno perché credi che sia sicura, poi non è così e ti trovi a 90° con le braghe calate.
    non+autenticato
  • - Scritto da: mela marcia
    > - Scritto da: aphex_twin
    > > Qui invece c'é la prova provata che nel Play
    > poco
    > > é cambiato dalla mia ultima visita , se
    > cerchi
    > > un'app devi sbatterti prima a trovare quella
    > > "buona" tra le centinaia disponibili.
    >
    > Nell'Apple Store invece prendi la prima che
    > capita (o magari ne provi due o tre e scegli
    > quella con la grafica più cool),

    Dopo averle pagate tutte e tre, beninteso, perche' nulla sull'appstore e' aggratis.

    > sei sereno
    > perché credi che sia sicura, poi non è così e ti
    > trovi a 90° con le braghe
    > calate.
  • - Scritto da: panda rossa
    > Dopo averle pagate tutte e tre, beninteso,
    > perche' nulla sull'appstore e'
    > aggratis.

    Ovvio! Quelle gratuite vengono subito scartate, perché la qualità c'è solo se paghi.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)