كشفت دراسة جديدة أن تطبيقات VPN المجانية على أندرويد قد تسرّب البيانات وتكشف التصفح، رغم وعودها بحماية الخصوصية.
ماذا كشفت الدراسة عن تطبيقات VPN المجانية على أندرويد؟
فحص باحثون 281 من أشهر تطبيقات VPN المجانية على متجر Google Play باستخدام نظام اختبار آلي جديد، وكانت النتيجة مقلقة للمستخدمين الذين يعتمدون على هذه الخدمات لحماية اتصالهم.
وبحسب الأرقام، فإن التطبيقات التي سُجلت عليها مشكلة واحدة على الأقل تجاوز مجموع تنزيلاتها 2.4 مليار مرة، ما يعني أن الخطر لا يخص حالات محدودة، بل يمتد إلى نطاق واسع جداً.
- 29 تطبيقاً سرّبت بعض حركة المرور خارج النفق المشفر.
- 24 تطبيقاً كشفت طلبات DNS التي تفضح المواقع التي يزورها المستخدم.
- 61 تطبيقاً أرسلت بيانات غير مشفرة يمكن قراءتها على الشبكة نفسها.
- 4 تطبيقات شغّلت نفقاً بلا تشفير فعلي.
كيف يحدث تسريب البيانات في تطبيقات VPN؟
الفكرة الأساسية من أي VPN هي إنشاء نفق مشفر بين الهاتف والإنترنت، بحيث لا يرى مزود الخدمة أو المتنصت على الشبكة ما يفعله المستخدم. لكن الدراسة أظهرت أن بعض التطبيقات تفشل في هذا الأساس.
في حالات عدة، كانت طلبات DNS تخرج خارج النفق، وهو ما يسمح لمشغل شبكة Wi‑Fi عامة أو لأي طرف يراقب الاتصال بمعرفة الوجهات التي يزورها المستخدم حتى لو بدا التطبيق متصلاً بشكل طبيعي.
ما أنواع التسريبات التي رصدها الباحثون؟
- تسريب طلبات DNS المرتبطة بأسماء المواقع.
- تسريب حركة التصفح الكاملة خارج الاتصال المشفر.
- إرسال ملفات أو بيانات حساسة بصيغة plain text.
- استخدام آليات إخفاء ضعيفة لا تمنع التعرف على نوع المرور.
ما أخطر ثغرة في الدراسة ولماذا تُعد مقلقة؟
أخطر ما توصل إليه الباحثون كان في 5 تطبيقات قامت بتحميل ملف الإعدادات بدون HTTPS. هذا الملف يحدد الخادم الذي سيتصل به التطبيق، وإذا انتقل بشكل غير مشفر يمكن اعتراضه وتعديله أثناء الطريق.
عملياً، يستطيع مهاجم على الشبكة نفسها إعادة توجيه المستخدم إلى خادم يسيطر عليه، بينما تظهر للتطبيق رسالة اتصال عادية. وهنا يصبح كل ما يمر عبر الهاتف تحت نظر المهاجم من دون أن يلاحظ المستخدم ذلك.
كما ذكر تيكبامين، فإن هذا النوع من الهجمات خطير لأنه يستهدف الثقة نفسها التي يمنحها المستخدم لتطبيقات VPN، لا مجرد خطأ تقني بسيط يمكن تجاهله.
هل كل تطبيقات VPN المجانية غير آمنة؟
ليس بالضرورة، لكن الدراسة تطرح سؤالاً مهماً: هل تستحق هذه التطبيقات الثقة؟ عند استخدام VPN أنت لا تلغي الحاجة إلى الثقة، بل تنقلها من مزود الإنترنت إلى مطور التطبيق أو الشركة المشغلة له.
بعض الخدمات استجابت للملاحظات وتعهدت بالانتقال إلى اتصالات أكثر أماناً، لكن عدداً آخر لم يؤكد إصلاح الثغرات حتى الآن. لذلك، لا يكفي عدد التنزيلات أو التقييمات المرتفعة للحكم على الأمان.
كيف يختار المستخدم تطبيقاً أكثر أماناً؟
- التحقق من سياسة الخصوصية وسجل الشركة المطورة.
- تفضيل التطبيقات التي تستخدم HTTPS والتحقق من الشهادات.
- الاعتماد على خدمات خضعت لتدقيق أمني مستقل.
- تجنب التطبيقات المجهولة أو التي تطلب صلاحيات غير مبررة.
ماذا تعني هذه النتائج لمستخدمي أندرويد؟
تعني هذه النتائج أن تطبيقات VPN المجانية على أندرويد ليست دائماً وسيلة مضمونة لحماية الخصوصية، بل قد تتحول إلى نقطة ضعف إضافية إذا كانت بنيتها الأمنية هشة.
وفقاً لتقرير تيكبامين، أفضل خطوة للمستخدم اليوم هي التعامل بحذر مع أي VPN مجاني، واعتبار الأمان الحقيقي مرتبطاً بالشفافية والتدقيق التقني، لا بالشعارات التسويقية فقط.