Một báo cáo mới đây từ nhóm nghiên cứu FOCI (Free and Open Communications on the Internet) đã phơi bày sự thật gây sốc về hàng loạt ứng dụng VPN miễn phí trên Android. Dù được quảng cáo là công cụ bảo vệ quyền riêng tư, các ứng dụng này lại tiềm ẩn nhiều lỗ hổng bảo mật nghiêm trọng và có mối liên hệ mật thiết với cùng một công ty công nghệ Trung Quốc – Qihoo 360.
Hàng trăm triệu lượt tải – nhưng người dùng đang bị theo dõi?
Theo báo cáo, các ứng dụng VPN bị nghi ngờ đã vượt qua mốc 700 triệu lượt tải trên Google Play. Nhóm nghiên cứu đã xác định được ít nhất 17 ứng dụng VPN khác nhau, do các công ty tưởng chừng không liên quan phát hành. Tuy nhiên, các bằng chứng kỹ thuật và pháp lý cho thấy tất cả đều liên kết về một nguồn gốc duy nhất: Qihoo 360 – một công ty an ninh mạng từng gây tranh cãi tại Trung Quốc.
Các nhóm VPN được chia thành ba nhóm chính:
- Nhóm A: Bao gồm Turbo VPN, VPN Monster, Proxy Master, Snap VPN… Các ứng dụng trong nhóm này có mã nguồn Java giống nhau, sử dụng giao thức IPsec và Shadowsocks, nhưng mật khẩu Shadowsocks bị hard-code, tạo lỗ hổng nghiêm trọng cho việc rò rỉ dữ liệu.
- Nhóm B: Sử dụng duy nhất giao thức Shadowsocks, cũng có mật khẩu cứng và dễ bị truy cập trái phép.
- Nhóm C: Dùng giao thức tuỳ biến riêng với mã nguồn tương tự nhau, kết hợp kỹ thuật làm rối mã (obfuscation) để tránh bị phân tích đảo ngược.
Tất cả nhóm đều mắc lỗi tương tự: thu thập vị trí người dùng, mã hoá yếu và sử dụng mật khẩu chia sẻ – hành vi được cho là vi phạm quyền riêng tư nghiêm trọng.
VPN miễn phí: Lợi bất cập hại?
VPN thường được người dùng chọn để ẩn danh trực tuyến, truy cập nội dung bị giới hạn theo vùng và tránh theo dõi. Tuy nhiên, báo cáo cho thấy với các ứng dụng VPN này, người dùng gần như giao toàn bộ dữ liệu cho một thực thể ẩn danh.
Bằng việc che giấu chủ sở hữu, Qihoo 360 được cho là đã tăng lượt tải và tránh được sự giám sát của các tổ chức độc lập. Dù không rõ mục đích cuối cùng là gì, nhưng việc các ứng dụng này dễ dàng bị lợi dụng bởi chính phủ hoặc hacker là mối nguy tiềm tàng không thể xem nhẹ.
Các chuyên gia kêu gọi người dùng:
- Không cài đặt hoặc gỡ bỏ ngay những ứng dụng VPN trong danh sách bị cảnh báo.
- Chỉ sử dụng VPN trả phí từ các nhà cung cấp uy tín, minh bạch về chính sách bảo mật và có trụ sở rõ ràng.
- Kiểm tra các quyền mà ứng dụng yêu cầu khi cài đặt, đặc biệt là quyền truy cập vị trí, lưu trữ và mạng.
Tóm lại: Báo cáo của FOCI là lời cảnh tỉnh quan trọng với người dùng Android trên toàn thế giới. VPN, nếu không được lựa chọn kỹ lưỡng, có thể trở thành cửa hậu cho các bên thứ ba tiếp cận dữ liệu cá nhân của bạn. Sự phổ biến không đồng nghĩa với an toàn – và miễn phí chưa chắc là lựa chọn tốt nhất cho quyền riêng tư của bạn.