Un team di ricerca internazionale ha pubblicato un’ analisi comparata di circa 300 app Android pensate per l’accesso su reti VPN (Virtual Private Network), un’offerta utilizzata da centinaia di milioni di utenti senza però la piena consapevolezza dei rischi a cui vanno incontro. Quelle app sono insicure, nella migliore delle ipotesi, e di servizi validi ce ne sono davvero pochissimi. Anzi uno.
I ricercatori australiani e statunitensi che hanno partecipato allo studio hanno messo sotto torchio 283 app per l’accesso su VPN, analizzandone il codice sorgente e il comportamento pratico nella gestione del traffico di rete dei tool basati sull’uso della tecnologia BIND_VPN_SERVICE .
Le succitate app sono in grado di intercettare il traffico telematico in arrivo e in un uscita su un terminale Android, e secondo i ricercatori si tratta di “privilegi” che vengono sostanzialmente sprecati a causa della mancata cifratura dei dati (18 per cento delle app testate), l’introduzione di codice JavaScript potenzialmente pericoloso per tenere sotto controllo le abitudini di navigazione dell’utente o visualizzare pubblicità, il leaking di traffico su protocollo IPv6 (84 per cento), la presenza di codice identificato come malevolo su VirusTotal (38 per cento) e altro ancora.
Le promesse di privacy, sicurezza e anonimato sono tradite nella stragrande maggioranza dei casi, denunciano i ricercatori; la scarsa sofisticazione tecnologica delle app VPN per Android – quando non si tratta di intenti completamente malevoli come la profilazione del traffico – rappresenta un rischio anche per gli utenti Android meno smaliziati.
Le app VPN su mobile sono quindi tutte da buttare? Quasi: secondo lo studio, uno dei pochi servizi che sembrano mantenere quel che promettono è Freedome VPN , app sviluppata dalla storica società di sicurezza finlandese F-Secure che però richiede il pagamento di una licenza annuale da 49,90 euro per l’utilizzo su tre dispositivi diversi basati su Android, Windows, OS X o iOS.
Alfonso Maruccia