Uma vulnerabilidade e más práticas de fornecedores envolvem riscos, revelados num estudo, para a privacidade dos utilizadores, .
Um estudo publicado esta semana sugere que as redes virtuais privadas (Virtual Private Networks ou VPN) podem ser menos seguras do que se pensava. O trabalho surge quando é cada vez mais comum o uso dessa tecnologia para obter privacidade e segurança suplementar.
Os utilizadores de VPN empresariais estão, à partida, salvaguardados, mas nem sempre usam os serviços disponibilizados pelas empresas. Devido a uma vulnerabilidade conhecida como “IPv6 leakage”, muitas das ofertas mais populares podem expor informações do utilizador, de acordo com investigadores das universidades Sapienza di Roma e Queen Mary de Londres.
Intitulado “A Glance through the VPN Looking Glass: IPv6 Leakage and DNS Hijacking in Commercial VPN clients“, descreve um estudo realizado no ano passado, que examinou 14 fornecedores de VPN comerciais populares em todo o mundo.
Especificamente, os investigadores testaram as VPN com dois tipos de ataques:
‒ de monitorização passiva, no qual um hacker pode simplesmente recolher informações do utilizador, sem encriptação;
‒ de sequestro de DNS, com o qual o hacker redirecciona o browser do utilizador para um servidor de Internet, montado para fingir ser um site popular como o da Google ou Facebook.
O que descobriram foi perturbador: 11 dos 14 fornecedores permite a fuga de informações, incluindo sobre os sites acedidos pelo utilizador, assim como o conteúdo efectivo das comunicações do mesmo. Apenas três não o fizeram: o Private Internet Access, o Mullvad e o VyprVPN. O TorGuard ofereceu uma forma de contornar o problema, notaram, mas a funcionalidade não estava activada por omissão.
Na origem do problema está o facto de, embora os operadores de rede ainda só estarem a proteger o tráfego baseado em IPv4, ao mesmo tempo implantam suporte para o de IPv6, concluíram os investigadores.
O estudo também analisou a segurança de várias plataformas de mobilidade na utilização de VPN e descobriu que eram muito mais seguras quando utilizam o sistema operativo iOS. E que eram mais vulneráveis usando o Android.
Apesar de tudo, as interacções com sites equipados com cifra HTTPS não sofreram fugas, notaram os investigadores.
Na origem do problema está o facto de, embora os operadores de rede ainda só estarem a proteger o tráfego baseado em IPv4, ao mesmo tempo implantam suporte para o de IPv6, concluíram os investigadores.
Outra dificuldade é que muitos fornecedores de serviços de VPN ainda dependem de protocolos de “tunelling” desactualizados como o PPTP. E estes são facilmente quebrados através de ataques de força bruta.
Os autores sugerem o Tor, juntamente com distribuições Linux como a Tails, como potenciais alternativas para quem pretende o anonimato. As VPN empresariais são pouco afectadas pelos problemas de fuga, disseram.
“Para o utilizador médio de negócios de tecnologia VPN, não há nenhum impacto”, disse Steve Manzuik, garante o director de pesquisa da Duo Security. Os investigadores lembram ainda que as tecnologias de VPN não foram projectadas para garantir privacidade e anonimato.