Google ha eliminado un programa VPN de Android de la tienda Google Play después de que los investigadores le notificaron de una vulnerabilidad crítica. La aplicación, SuperVPN, se ha descargado más de 100,000 veces.
Las redes privadas virtuales (VPN) permiten a los usuarios crear conexiones encriptadas a servidores en línea que luego sirven como su puerta de entrada a Internet. Permiten a los usuarios hacer un túnel seguro a Internet cuando utilizan conexiones locales no confiables, como las de lugares públicos como cafeterías. En teoría, deberían evitar que los intrusos detecten tu tráfico en redes inseguras. SuperVPN es uno de los muchos programas que supuestamente cumplen esta función para teléfonos Android.
VPNpro, una compañía que revisa y asesora sobre productos VPN, advirtió en febrero de una vulnerabilidad en el producto que podría causar un ataque de hombre en el medio (MITM), permitiendo que un intruso se inserte entre el usuario y el servicio VPN. Dijo en ese momento:
Lo que ha hecho esta aplicación VPN es dejar que sus usuarios, personas que buscan privacidad y seguridad adicionales, tengan menos privacidad y seguridad que si no hubieran usado ninguna VPN.
El programa estaba enviando datos cifrados, pero codificó la clave de descifrado, dijo el sitio de revisión. El descifrado de los datos reveló información sobre el servidor de SuperVPN, los certificados y las credenciales de autenticación. VPNpro pudo reemplazar esos datos con los suyos.
Eso significa que el atacante puede obligar a SuperVPN a conectarse a un servidor falso. Esto le permite ver todos los datos del usuario, incluidas las contraseñas, los mensajes de texto privados y los mensajes de voz, dijo VPNpro.
VPN de Android en serios problemas
El investigador de VPNpro, Jan Youngren, descubrió la vulnerabilidad en octubre de 2019 y agregó que su desarrollador, SuperSoftTech, probablemente con sede en Beijing, no respondió a su notificación. En cambio, notificó al Programa de Recompensas de Seguridad de Google Play (GPSRP), operado para Google por HackerOne. Ese equipo tampoco pudo obtener una respuesta de SuperSoftTech. Así que eliminó el programa de la tienda Google Play el 7 de abril de 2020.
Esta no es la primera vez que SuperVPN ha surgido en la investigación de vulnerabilidades. También recibió una mención en un documento de 2016 que investigó los riesgos de seguridad en las VPN de Android. Esa investigación, presentada en la Conferencia de Medición de Internet (IMC) 2016 de la Association for Computing Machinery, encontró que 13 programas antivirus detectaron actividad de malware en el software. Tomó el tercer lugar en una clasificación de las VPN de Android marcadas con mayor frecuencia con actividad de malware por parte de los programas antivirus.
SuperVPN no fue la única VPN de Android que planteó las preocupaciones de VPNpro. Identificó a otras nueve personas en su publicación de blog de febrero que, según dijo, tenían vulnerabilidades críticas que dejaban a sus usuarios vulnerables a los ataques MITM. Una comprobación rápida muestra que varios de ellos todavía están disponibles para descargar en Play Store.
:)