Günümüzde internette gizliliğini korumak (ve engelleri aşmak) isteyen birçok kullanıcı, ilk adım olarak ücretsiz VPN uygulamalarına yöneliyor. Ancak sanal özel ağlar (VPN) her zaman göründükleri kadar güvenli değil. Özellikle mobil cihazlar için geliştirilen yüzlerce ücretsiz VPN, kullanıcıların verilerini korumaktan çok, onları riske atıyor.

Mobil güvenlik firması Zimperium zLabs tarafından yürütülen kapsamlı bir araştırma, hem Android hem de iOS platformlarında 800’den fazla ücretsiz VPN uygulamasını mercek altına aldı. Elde edilen bulgular, bu uygulamaların yaklaşık üçte ikisinin çeşitli güvenlik açıkları ve şüpheli izin talepleriyle kullanıcı gizliliğini ciddi şekilde tehlikeye attığını ortaya koydu.

VPN’ler, temelde internet trafiğini şifreleyerek üçüncü tarafların kullanıcı etkinliğini izlemesini engelleyen yazılımlar olarak bilinir. Ayrıca kullanıcıların coğrafi engelleri aşmasına da olanak sağlıyorlar. Ancak Zimperium’un incelediği birçok ücretsiz VPN uygulaması, bu temel işlevleri yerine getirirken güvenliği ikinci plana atıyor. Bazıları ise doğrudan kullanıcı verilerini toplayan veya cihazda güvenlik açıkları oluşturan davranışlar sergiliyor.

Araştırmaya göre bazı uygulamalar, cihaz ekranından izinsiz görüntü alabiliyor. Bu durum, kullanıcının e-posta içeriğinden özel fotoğraflarına kadar çok sayıda kişisel verinin açığa çıkmasına yol açabiliyor. Üstelik bazı VPN’ler, görünürde çalışıyor gibi davranırken arka planda hiçbir güvenlik işlevi yerine getirmiyor. Yani kullanıcı, bağlantısının koruma altında olduğunu düşünse de aslında tamamen savunmasız durumda kalabiliyor.

Açık kapılar: İzinler ve kötü amaçlı kodlar

Zimperium’un raporunda özellikle uygulamaların talep ettiği izinlere dikkat çekiliyor. Bazı VPN’ler, konum, mikrofon ya da fotoğraflara erişim gibi doğrudan VPN işleviyle ilgisi olmayan izinler istiyor. Bazı durumlarda bu izinler saldırganlar tarafından hesap silme, parola değiştirme veya başka servislere izinsiz erişim gibi kötüye kullanılabiliyor.

Güvenli olmayan yazılım bileşenleri de dikkat çeken bir diğer unsur. Raporda, birçok uygulamanın güncelliğini yitirmiş kütüphaneler ya da zayıf şifreleme yöntemleri kullandığı belirtiliyor. Bu tür eksiklikler, potansiyel saldırganlar için kolayca istismar edilebilecek açıklara dönüşebiliyor.

Araştırmada, özellikle “kendi cihazını getir” (BYOD) modelini kullanan işletmeler için ciddi uyarılar var. Kişisel telefonlarında güvenli olmayan VPN’ler kullanan çalışanlar, istemeden de olsa şirket verilerini tehlikeye atabiliyor. Zimperium’a göre bu uygulamalar, kurumsal güvenlik zincirinin en zayıf halkası haline gelebilir.

Şeffaflık ve açıklama eksikliği

Ücretsiz VPN’lerin önemli bir bölümü, kullanıcı verilerinin nasıl işlendiğine dair yeterli açıklama yapmıyor. Rapora göre uygulamaların dörtte biri geçerli bir gizlilik politikası sunmuyor. Özellikle iOS platformunda bazı VPN’lerin, Apple’ın kullanıcı verilerinin kullanımına dair getirdiği açıklama zorunluluğuna uymadığı da tespit edildi. Bu durum, kullanıcıların verilerinin profillenme, üçüncü taraflara aktarılma veya ticari amaçla kullanılması riskini artırıyor.

Araştırma sonuçları, VPN seçimi yapılırken sadece ücretsiz olması ya da uygulama mağazasında yüksek puan alması gibi kriterlerin yeterli olmadığını gösteriyor. Kullanıcıların, bir VPN uygulamasını indirirken geliştirici bilgileri, gizlilik politikası, talep edilen izinler ve güncelleme geçmişi gibi temel detaylara dikkat etmesi gerekiyor.