VPN, dünya çapında pek çok kullanıcının, internete anonim erişmek istediğinde kullandığı bir teknoloji. Ancak bu hizmeti sunan büyük servislerin, düşünüldüğü kadar da güvenilir olmadığı ortaya çıktı.

Yakın tarihli akademik bir araştırma, Google Play Store üzerinden indirilen ve 700 milyonun üzerinde kullanıcıya sahip olan 20’den fazla popüler VPN uygulamasının arka planda birbirleriyle gizlice bağlantılı olduğunu ortaya koydu. Bu uygulamalar farklı markalar altında pazarlanıyor olsa da, aslında kod temelleri, sunucu altyapısı ve şifreleme mekanizmaları açısından ortaklıklar barındırıyor.

Araştırmayı yürüten Citizen Lab ve diğer güvenlik uzmanları, bu VPN uygulamalarının üç ayrı aileye ait olduğunu belirledi.

Innovative Connecting, Autumn Breeze ve Lemon Clove’dan oluşan A Ailesi’nin, sekiz VPN uygulamasından toplu olarak sorumlu olduğu tespit edildi. Bunlar arasında Turbo VPN, VPN Proxy Master ve Snap VPN yer alıyor ve hepsi neredeyse aynı kod, kütüphane ve kaynakları paylaşıyor.

Matrix Mobile, ForeRaya Technology ve Wildlook Tech gibi şirketlerden oluşan B Ailesi ise XY VPN, 3X VPN ve Melon VPN gibi VPN’lerden sorumlu. VPN’ler, aynı protokolleri ve gizlemeyi kullanmaları ve VPN IP adreslerini paylaşmaları sayesinde birbirine bağlandı.

Fast Potato ve Free Connected Limited’den oluşan C Ailesi, Fast Potato VPN ve X-VPN‘nin arkasında yer alıyor ve aynı tescilli protokol uygulamasını ve gizlemeyi paylaşıyor.

İşin aslına bakıldığında, kullanıcılar farklı uygulamalar indirerek rekabetçi bir pazar olduğunu düşünse de, bu yapı aslında tek bir arka plandan yönetiliyor. Üstelik bazı uygulamalarda sabit (hard-coded) şifreleme anahtarları bulunuyor; bu sayede kötü niyetli kişiler kullanıcı verilerini gerçek zamanlı olarak çözebilir hale geliyor.

Verilerinize ulaşıyorlar ve hiçbir güvenlik garantisi yok

Bunun yanı sıra, bazı ücretsiz VPN uygulamalarıyla ilgili bağımsız raporlar da sorunları gözler önüne seriyor. Örneğin Qihoo 360 adlı Çinli bir şirketle ilişkilendirilen ve dünya genelinde kullanıcı verileri üzerindeki denetim potansiyeli yüksek olan VPN uygulamaları, Google ve Apple mağazalarında hala indirilebilir durumda. Bu, kullanıcıların gizlilik beklileriyle açık bir çelişki içeriyor. Dolayısıyla, eğer VPN uygulamaları kullanacaksınız, çok dikkatli hareket etmenizi tavsiye ederiz.