Google elimina la VPN de Android por vulnerabilidad cr铆tica

Google ha eliminado un programa VPN de Android de la tienda Google Play despu茅s de que los investigadores le notificaron de una vulnerabilidad cr铆tica. La aplicaci贸n, SuperVPN, se ha descargado m谩s de 100,000 veces.

Las redes privadas virtuales (VPN) permiten a los usuarios crear conexiones encriptadas a servidores en l铆nea que luego sirven como su puerta de entrada a Internet. Permiten a los usuarios hacer un t煤nel seguro a Internet cuando utilizan conexiones locales no confiables, como las de lugares p煤blicos como cafeter铆as. En teor铆a, deber铆an evitar que los intrusos detecten tu tr谩fico en redes inseguras. SuperVPN es uno de los muchos programas que supuestamente cumplen esta funci贸n para tel茅fonos Android.

VPNpro, una compa帽铆a que revisa y asesora sobre productos VPN, advirti贸 en febrero de una vulnerabilidad en el producto que podr铆a causar un ataque de hombre en el medio (MITM), permitiendo que un intruso se inserte entre el usuario y el servicio VPN. Dijo en ese momento:

Lo que ha hecho esta aplicaci贸n VPN es dejar que sus usuarios, personas que buscan privacidad y seguridad adicionales, tengan menos privacidad y seguridad que si no hubieran usado ninguna VPN.

El programa estaba enviando datos cifrados, pero codific贸 la clave de descifrado, dijo el sitio de revisi贸n. El descifrado de los datos revel贸 informaci贸n sobre el servidor de SuperVPN, los certificados y las credenciales de autenticaci贸n. VPNpro pudo reemplazar esos datos con los suyos.

Eso significa que el atacante puede obligar a SuperVPN a conectarse a un servidor falso. Esto le permite ver todos los datos del usuario, incluidas las contrase帽as, los mensajes de texto privados y los mensajes de voz, dijo VPNpro.

VPN de Android en serios problemas

Google elimina la VPN de Android por vulnerabilidad cr铆tica

El investigador de VPNpro, Jan Youngren, descubri贸 la vulnerabilidad en octubre de 2019 y agreg贸 que su desarrollador, SuperSoftTech, probablemente con sede en Beijing, no respondi贸 a su notificaci贸n. En cambio, notific贸 al Programa de Recompensas de Seguridad de Google Play (GPSRP), operado para Google por HackerOne. Ese equipo tampoco pudo obtener una respuesta de SuperSoftTech. As铆 que elimin贸 el programa de la tienda Google Play el 7 de abril de 2020.

Esta no es la primera vez que SuperVPN ha surgido en la investigaci贸n de vulnerabilidades. Tambi茅n recibi贸 una menci贸n en un documento de 2016 que investig贸 los riesgos de seguridad en las VPN de Android. Esa investigaci贸n, presentada en la Conferencia de Medici贸n de Internet (IMC) 2016 de la Association for Computing Machinery, encontr贸 que 13 programas antivirus detectaron actividad de malware en el software. Tom贸 el tercer lugar en una clasificaci贸n de las VPN de Android marcadas con mayor frecuencia con actividad de malware por parte de los programas antivirus.

SuperVPN no fue la 煤nica VPN de Android que plante贸 las preocupaciones de VPNpro. Identific贸 a otras nueve personas en su publicaci贸n de blog de febrero que, seg煤n dijo, ten铆an vulnerabilidades cr铆ticas que dejaban a sus usuarios vulnerables a los ataques MITM. Una comprobaci贸n r谩pida muestra que varios de ellos todav铆a est谩n disponibles para descargar en Play Store.

:)