Salatun tietoliikenteen varmenteista kohu

Useita vpn-sovelluksia syytetään vaarallisesta käytännöstä – näin sitä selitetään

Kuusi vpn-ohjelmien valmistajaa on saanut kritiikkiä riskialttiista toimintatavastaan. Tietoturvafirma AppEsteemin selvityksen mukaan siihen ovat syyllistyneet muun muassa Surfshark, TurboVPN ja VyprVPN.

Kyseiset sovellukset tallentavat luotetun varmenteita myöntävän tahon juurivarmenteen käyttäjän laitteelle ja osa ei edes pyydä käyttäjältä suostumusta tälle, TechRadar uutisoi. Uutissivuston mukaan tämä on huono käytäntö, koska se voi johtaa juurivarmenteen joutumiseen vääriin käsiin, jolloin huijari voisi väärentää lisää varmenteita rikollisiin tarpeisiinsa.

Juurivarmenteita käytetään todentamaan, että sovellukset ja verkkosivut todella ovat sen tahon ylläpitämiä, mitä ne väittävätkin olevansa. Tällä tavalla luotettavat tahot takaavat järjestelmän turvallisuutta. Väärissä käsissä ne mahdollistavat laitteen tietoliikenteen vakoilemisen ja muita väliintulohyökkäyksen kautta alkavia huijauksia, kuten haittaohjelman asentamisen.

AppEsteemin mukaan Surfshark asentaa juurivarmenteensa siinäkin tapauksessa laitteelle, että käyttäjä peruu asennuksen. Surfshark mainitsee kyllä oman varmenteensa käyttämisen ja selittää sen olevan ainoastaan käytössä keinona, jolla sovellus ottaa vpn-yhteyden palvelimille IKEv2-protokollaa käyttäen. TechRadar ei ole vakuuttunut, että tämä on kuitenkaan tarpeellista kyseisen protokollan käyttämiseksi, koska useat muut vpn-toimijat eivät näin toimi.

Surfshark lisäksi selitti TechRadarille lähetetyssä lausunnossa, että viime vuosina on paljastunut monia tapauksia, jossa muiden myöntämät juurivarmenteet ovatkin paljastuneet epäluotettaviksi. Siksi yhtiö sanoo ennemmin luottavansa omiin varmenteisiinsa. Toisaalta Surfshark kertoo ottaneensa AppEsteemin kritiikistä onkeensa ja korjanneensa epäkohtia ohjelmissaan. Lisäksi IKEv2-protokollasta luovutaan ja sen sijaan keskitytään Wireguard- ja OpenVPN-protokolliin. Tämän myötä tarve juurivarmenteen asentamiselle poistuu.

AppEsteemin mainitsemat sovellukset ovat Surfshark, Atlas VPN, VyprVPN, VPN Proxy Master, Sumrando VPN ja Turbo VPN.

LUE MYÖS

Suosittu vpn-palvelu lupaa 100 000 dollaria palvelintensa hakkeroijalle

Venäläiset lähtivät joukolla kiertämään ”digitaalista rautaesirippua”

LÄHDE: TIVI/Suvi Korhonen 21.04.2022