Mais de 65% das VPNs gratuitas ameaçam sua privacidade

Se você está procurando proteger sua privacidade online, a primeira coisa que provavelmente vem à sua mente é uma VPN. Uma Rede Privada Virtual, ou VPN, é um programa que roda no seu dispositivo (seja desktop, laptop ou dispositivo móvel), criptografa todo o tráfego de internet e ainda protege sua privacidade ao ocultar sua localização real de qualquer pessoa curiosa o suficiente para verificar seu endereço IP. Usar uma VPN é realmente “Privacidade 101”, e as VPNs são extremamente populares, mesmo entre pessoas que têm uma ideia vaga de como elas funcionam — ou nenhuma ideia.

Infelizmente, na prática isso significa que, ao escolher uma VPN, usuários menos experientes frequentemente pegam a primeira opção que veem na loja de extensões do navegador. Geralmente, é uma entre literalmente milhares de VPNs gratuitas, muitas vezes relativamente desconhecidas. Leitores mais preocupados com a privacidade provavelmente já estão soando alarmes só de ler esse cenário, e com razão. VPNs gratuitas simplesmente não são seguras. Já há muitas evidências para essa afirmação, e um estudo recente da empresa de segurança móvel Zimperium zLabs só confirma isso. De acordo com a pesquisa deles, de 800 apps VPN gratuitos para Android e iOS, mais de 65% apresentaram um ou mais problemas de segurança ou privacidade, como vazamento de dados pessoais ou código vulnerável.

Problemas mais comuns

Vulnerabilidades mais comuns em apps VPN móveis gratuitos

O problema mais frequentemente observado, presente em quase dois terços de todos os apps analisados, foi “comportamentos e APIs arriscadas”. Esse termo guarda-chuva inclui tanto o uso de APIs perigosas que podem aumentar a superfície de ataque de um app VPN, quanto uma série de outros comportamentos preocupantes nos apps. Por exemplo, alguns dos apps analisados chegaram a capturar screenshots da interface do usuário — seu palpite sobre por que um app VPN precisaria fazer isso é tão bom quanto o nosso. Outros apps apresentaram lançamento inseguro de atividades, deixando brechas para que atacantes contornassem as verificações de segurança do sistema operacional. Atacantes poderiam explorar isso lançando componentes sensíveis — como a tela de login — fora do fluxo normal do app. Isso poderia permitir que eles desativassem a criptografia à força ou até desconectassem a VPN completamente.

Algumas VPNs estudadas foram flagradas permitindo que outros apps acessassem suas partes internas sem verificações de permissão adequadas. Esse tipo de falha poderia permitir que apps maliciosos espiem dados sensíveis — como logs, detalhes de conexão ou contas de usuários — ou até alterem como a VPN funciona, modificando suas configurações ou redirecionando o tráfego por servidores perigosos.

O abuso de permissões em geral foi outro problema muito evidente, detectado em cerca de 40% dos apps analisados. Mesmo que se descarte a intenção maliciosa, um app que solicita permissões além de sua funcionalidade traz riscos de segurança: quanto mais permissões o app tem, mais portas ele abre para um possível atacante. E, certamente, alguns apps VPN que solicitam permissões estranhas, como acesso ao microfone, fazem isso com intenções nada boas — imagine um app VPN que grava tudo o que você fala durante o dia e depois envia para algum servidor aleatório que você não conhece.

30 apps VPN para iOS também se destacaram por solicitar “entitlements privados”, um tipo de permissão que dá ao app um grande controle sobre o dispositivo e normalmente é reservado à Apple ou a aplicativos confiáveis muito específicos. Por exemplo, conceder algumas dessas permissões permitiria que o app executasse chamadas de sistema, acessasse áreas de memória contendo informações sensíveis ou até extraísse dados privados de outros apps, incluindo credenciais. Quando um app solicita um entitlement, isso é um grande sinal de alerta e geralmente indica que algo não está certo.

Um dos problemas mais comuns em apps VPN gratuitos para iOS especificamente é a presença de rótulos enganosos ou ausentes. Qualquer app distribuído pela App Store deve declarar quais dados do usuário está manipulando e como, além de explicar por que precisa das APIs que utiliza. Isso é feito por meio do privacy manifest do app — um arquivo interno incluído no pacote do app. Com base nesse manifesto de privacidade, os desenvolvedores devem listar rótulos nutricionais visíveis ao usuário na página do app na App Store. Eles funcionam como um resumo de privacidade fácil de entender para os usuários, e o estudo revelou que mais de 40% dos apps VPN iOS analisados não apresentavam os rótulos necessários corretamente. Pior ainda, 25% dos apps não incluíam um privacy manifest válido.

Tipos de rótulos mais frequentemente ausentes em apps VPN gratuitos para iOS

Rótulos mal representados e manifestos de privacidade ausentes podem ser atribuídos a descuido ou má intenção, mas, em qualquer caso, não é isso que você quer ver em um app que supostamente protege sua privacidade. Enganar e confundir os usuários desde o início já é ruim o suficiente e possivelmente perigoso, além de ser indicativo de outros problemas potencialmente muito mais graves.

As duas últimas categorias de falhas de privacidade e segurança listadas na pesquisa, problemas de comunicação e bibliotecas problemáticas, aparecem em bem menos apps (1% e 0,4% de todos os apps, respectivamente). No entanto, estão entre os faux pas de privacidade mais graves que um app VPN pode cometer. Três apps ainda utilizavam uma versão antiga da biblioteca OpenSSL, deixando-os vulneráveis a um bug muito conhecido, antigo e facilmente corrigível, que pode expor nomes de usuário, senhas e chaves secretas dos usuários. Isso é simplesmente inaceitável, especialmente para um app que afirma protegê-lo — mas trai sua confiança. Outro 1% dos apps deixava os usuários vulneráveis a ataques MitM (Man-in-the-Middle), permitindo que agentes maliciosos interceptassem e lessem todo o tráfego web do dispositivo. Isso é literalmente o oposto do que você espera de uma VPN — comunicação segura.

Nossa conclusão

Esta pesquisa mostra que, ao instalar um app VPN gratuito qualquer, há grande probabilidade de você encontrar ao menos alguns problemas relacionados à privacidade ou segurança. Alguns podem representar apenas ameaças menores, mas outros podem levar a consequências realmente desastrosas. Você está preparado para assumir esse risco? Eis o que o Diretor de Produto da AdGuard VPN comenta sobre os achados da Zimperium zLabs:

“Se eu tivesse que dar apenas um conselho, seria evitar VPNs gratuitas completamente. Elas nunca oferecerão a mesma proteção, velocidade e recursos que VPNs pagas, e os riscos que você corre ao instalar uma são muito reais. Você realmente não quer economizar na sua privacidade aqui.

Mas, se você realmente precisar escolher uma VPN gratuita, procure planos gratuitos de VPNs pagas estabelecidas e confiáveis. Seus planos gratuitos geralmente estão sujeitos à mesma política de privacidade, o que garante a segurança de seus dados pessoais.”

— Denis Vyazovoy, Diretor de Produto da AdGuard VPN

Lembre-se de que uma VPN não é “apenas mais um app” no seu dispositivo. Ela potencialmente tem acesso a todo o tráfego web do seu dispositivo e, como a pesquisa mostra, às vezes até às configurações do sistema. Escolha seu app VPN com cuidado e respeito à sua própria privacidade.