Nghiên cứu gần đây đã hé lộ những hành vi mờ ám trong ngành cung cấp dịch vụ **bảo mật VPN**. Các nhà cung cấp dường như độc lập thực chất lại liên kết thành ba “gia đình” riêng biệt, với tổng số lượt tải xuống trên Google Play Store vượt quá 700 triệu.

Bằng cách phân tích hồ sơ kinh doanh, tạo phẩm APK và dữ liệu liên lạc mạng, các nhà nghiên cứu đã xác định các cụm nhà cung cấp VPN che giấu quyền sở hữu chung. Nhiều công ty này thường tuyên bố hoạt động tại Singapore nhưng thực chất lại có liên hệ với các thực thể Trung Quốc, bao gồm cả các mối quan hệ với những công ty bị trừng phạt như Qihoo 360.

Thực trạng che giấu quyền sở hữu và **rủi ro bảo mật**

Sự thiếu minh bạch này không chỉ làm xói mòn niềm tin của người dùng mà còn đi kèm với hàng loạt lỗ hổng bảo mật nghiêm trọng. Điển hình là việc sử dụng chung các thông tin xác thực mã hóa, đe dọa trực tiếp đến quyền riêng tư dữ liệu của người dùng.

Nghiên cứu này tiếp nối các cuộc điều tra trước đây của VPN Pro và Tech Transparency Project. Nó giới thiệu các phương pháp mới, chẳng hạn như trích xuất mật khẩu Shadowsocks được mã hóa cứng từ các tệp APK để giải mã lưu lượng và xác nhận việc chia sẻ cơ sở hạ tầng giữa các nhà cung cấp.

Các gia đình VPN lừa đảo được xác định

Gia đình A bao gồm các nhà cung cấp như Innovative Connecting, Autumn Breeze và Lemon Clove. Họ vận hành các ứng dụng như Turbo VPN và VPN Proxy Master. Các ứng dụng này tái sử dụng cơ sở mã và máy chủ, tạo điều kiện cho kẻ tấn công truy cập hoặc liệt kê thêm các điểm cuối.

Tương tự, Gia đình B và Gia đình C cũng thể hiện sự tương đồng về mã nguồn, sử dụng các giao thức độc quyền và có những điểm yếu trong giao thức. Điều này khiến người dùng dễ bị nghe lén và tấn công suy luận kết nối (connection inference attacks).

Phân tích kỹ thuật các **lỗ hổng bảo mật** trong giao thức VPN

Nghiên cứu đi sâu vào các khuyết điểm nghiêm trọng trong giao thức VPN trên các nhóm nhà cung cấp này, đặc biệt trong việc triển khai lớp mạng (network-layer) và lớp ứng dụng (application-layer).

Lỗ hổng trong VPN lớp mạng

Các VPN lớp mạng, như những giao thức sử dụng IPsec hoặc OpenVPN, đặc biệt dễ bị tấn công ‘blind in/on-path’. Trong kiểu tấn công này, đối thủ có thể suy luận thông tin hoặc chiếm quyền điều khiển các kết nối mà không cần giải mã đường hầm (tunnel). Kẻ tấn công lợi dụng việc xác thực địa chỉ nguồn lỏng lẻo trên các thiết bị di động để thực hiện các cuộc tấn công này, gây ra rủi ro bảo mật nghiêm trọng cho người dùng VPN.

Lỗ hổng trong VPN lớp ứng dụng

Các proxy lớp ứng dụng như Shadowsocks, vốn rất phổ biến trong tất cả các nhóm VPN được phân tích, gặp phải vấn đề với các thuật toán mã hóa đã lỗi thời (ví dụ: rc4-md5). Các thuật toán này cho phép kẻ tấn công thực hiện ‘decryption oracles’, từ đó khôi phục văn bản thuần túy (plaintext) mà không cần kiểm tra tính toàn vẹn.

Mã hóa cứng khóa và chia sẻ cơ sở hạ tầng

Một phát hiện đặc biệt đáng báo động là việc mã hóa cứng (hard-coding) các khóa đối xứng và mật khẩu trong các tệp APK. Điều này được ghi nhận trong thư viện libopvpnutil.so của Gia đình A, nơi các khóa giải mã được tạo ra một cách xác định dựa trên tên gói ứng dụng.

Việc tái sử dụng khóa này cho phép bất kỳ kẻ nghe lén mạng nào cũng có thể giải mã toàn bộ lưu lượng truy cập của máy khách. Các nhà nghiên cứu đã chứng minh điều này bằng cách sử dụng các công cụ như Frida để phân tích động, cho phép giải mã các luồng dữ liệu đã mã hóa theo thời gian thực. Điều này đặt ra mối lo ngại lớn về **bảo mật VPN**.

Các ứng dụng của Gia đình B, dựa vào thư viện libcore.so, lựa chọn từ 14 mật khẩu được mã hóa cứng trên các máy chủ dùng chung do GlobalTeleHost Corp. lưu trữ. Điều này tạo điều kiện cho việc lạm dụng cơ sở hạ tầng giữa các nhà cung cấp, ảnh hưởng đến **bảo mật VPN** của người dùng.

Ngay cả đường hầm tùy chỉnh của Gia đình C qua cổng 53 (ngụy trang thành DNS) cũng tích hợp các phụ thuộc của libredsocks.so. Điều này tạo cơ hội cho các cuộc tấn công mù phía máy khách (client-side blind attacks) thông qua khung Netfilter của Android.

Những khuyết tật được chia sẻ này không chỉ cho thấy sự lừa dối về quyền sở hữu mà còn là sự bất cẩn có hệ thống về an ninh, ảnh hưởng đến hơn 972 triệu lượt tải xuống trên 21 ứng dụng. Điều này làm trầm trọng thêm các **rủi ro bảo mật** tiềm ẩn.

Tác động và khuyến nghị về **bảo mật VPN**

Ý nghĩa của những phát hiện này rất sâu sắc: người dùng tin tưởng các dịch vụ **bảo mật VPN** này để bảo vệ quyền riêng tư có thể vô tình để lộ dữ liệu nhạy cảm cho việc chặn thu (interception), đặc biệt là trong các mạng đối địch như Wi-Fi công cộng.

Để cải thiện an toàn thông tin, các nhà nghiên cứu khuyến nghị nâng cao tín hiệu pháp y để phân cụm, chẳng hạn như khớp thông tin xác thực mã hóa. Đồng thời, họ kêu gọi các nhà cung cấp áp dụng các khóa không mã hóa cứng và sử dụng mã hóa mạnh mẽ hơn như thuật toán AEAD (Authenticated Encryption with Associated Data) để tăng cường **bảo mật VPN**.

Trong bối cảnh việc sử dụng VPN ngày càng tăng do mối đe dọa tấn công mạng leo thang, nghiên cứu này nhấn mạnh sự cần thiết của việc kiểm soát chặt chẽ về tính minh bạch quyền sở hữu và tính toàn vẹn của giao thức. Điều này là cốt yếu để bảo vệ người dùng trên toàn cầu, đảm bảo an toàn thông tin cá nhân của họ.