Supprimez immédiatement ces applications : 'Les risques sont trop élevés' selon les experts

Des dizaines de millions d'utilisateurs d'Android et d'iPhone sont avertis qu'ils ont installé des applications gratuites les exposant à des risques majeurs. Ces applications, principalement des VPN, pourraient transmettre des données sensibles à des entreprises sous contrôle du gouvernement chinois, selon un rapport du Tech Transparency Project (TTP) publié le 28 juin.

Le TTP a identifié une liste de VPN disponibles sur les stores d'Apple et Google, censés protéger la vie privée mais faisant exactement l'inverse. "Des millions d'Américains ont téléchargé des applications qui redirigent secrètement leur trafic internet via des entreprises chinoises", affirme le TTP. Malgré les alertes lancées en avril, ces applications restent disponibles six semaines après avoir été signalées.

Simon Migliano de Top10VPN met en garde : "Les risques sont trop grands pour les garder sur votre téléphone". Il recommande vivement d'éviter tous les VPN détenus par des sociétés chinoises. Google et Apple affirment respecter les lois en vigueur mais ne traitent pas différemment les applications en fonction de l'origine de leurs développeurs.

Lisa Taylor de vpnMentor explique que cela n'est "pas surprenant", car "la Chine utilise souvent différentes méthodes pour obtenir des informations personnelles de citoyens étrangers, généralement dissimulées derrière une façade légale". Les VPN gratuits seraient une couverture idéale pour ce type d'opérations, enregistrant souvent l'activité des utilisateurs malgré leurs déclarations contraires.

James Maude de BeyondTrust abonde : "Si vous ne payez pas pour un produit, c'est que vous êtes le produit". Ces services VPN illustrent parfaitement les coûts cachés des applications gratuites, où les utilisateurs cherchant plus de confidentialité alimentent involontairement des données à un État étranger.

Vijay Dilwale de Black Duck qualifie le rapport du TTP de "sérieux avertissement" montrant que les VPN, censés protéger la vie privée, peuvent présenter des risques sécuritaires majeurs, surtout lorsque leur propriétaire réel est dissimulé. Ces applications ayant accès à tout le trafic utilisateur, les implications dépassent largement la simple confidentialité individuelle lorsqu'elles sont gérées par des entités chinoises.

Le TTP note que tous les VPN identifiés sont listés comme gratuits, mais certains proposent des achats intégrés. Ce manque de transparence est l'une des principales raisons pour lesquelles les experts déconseillent les VPN gratuits, d'autant plus que les restrictions de contenu poussent les gens vers ces solutions.

Migliano souligne que "la véritable liberté et confidentialité sur internet dépendent de la transparence et de la confiance". Il critique Google et Apple qui continuent d'autoriser ces applications à haut risque malgré les preuves de leurs défaillances.

Randolph Barr de Cequence Security alerte sur des préoccupations de sécurité nationale : la nature obscure de ces applications concernant leur localisation géographique et leur propriété pose un problème majeur pour ceux manipulant des données sensibles. Il suggère des mesures d'atténuation comme une vérification approfondie des applications installées et une surveillance continue des flux de données.

Chad Cragle de Deepwatch renchérit : "Lorsque ces applications sont détenues par des entreprises chinoises cachées derrière des sociétés écrans, cela devient très préoccupant". Il appelle les plateformes à assumer leurs responsabilités, soulignant qu'il ne s'agit pas seulement de vie privée mais aussi de sécurité nationale.

Voici la liste des applications concernées :

App Store Apple : X-VPN, Ostrich VPN, VPN Proxy Master, Turbo VPN, Private Browser VPN, VPNIFY, VPN Proxy OvpnSpider, WireVPN, Now VPN, Speedy Quark VPN, Best VPN Proxy, AppVPN, HulaVPN, Pearl VPN.

Google Play Store : Turbo VPN, VPN Proxy Master, X-VPN, Speedy Quark VPN, Ostrich VPN, Snap VPN, Signal Secure VPN, VPN Proxy OvpnSpider, HulaVPN, VPN Proxy AppVPN.

L'application Android vpnify, initialement dans le rapport, a depuis déménagé hors de Chine et a demandé son retrait du rapport.

Xóa ngay những ứng dụng này: 'Rủi ro quá lớn' theo cảnh báo của chuyên gia

Hàng chục triệu người dùng Android và iPhone đang được cảnh báo về những ứng dụng miễn phí có thể khiến họ gặp rủi ro nghiêm trọng. Các ứng dụng VPN này có thể đang gửi dữ liệu nhạy cảm tới các công ty thuộc kiểm soát của chính phủ Trung Quốc, theo báo cáo ngày 28/6 từ Dự án Minh bạch Công nghệ (TTP).

TTP đã công bố danh sách các ứng dụng VPN trên App Store và Google Play, vốn được quảng cáo là bảo vệ người dùng nhưng thực chất làm điều ngược lại. "Hàng triệu người Mỹ đã tải về các ứng dụng bí mật chuyển hướng lưu lượng internet qua các công ty Trung Quốc", TTP cho biết. Dù được cảnh báo từ tháng 4, các ứng dụng này vẫn tồn tại sau 6 tuần bị phát hiện.

Simon Migliano từ Top10VPN cảnh báo: "Rủi ro quá lớn để giữ chúng trên điện thoại". Ông khuyến cáo người dùng tránh xa tất cả VPN thuộc sở hữu Trung Quốc. Google và Apple tuyên bố tuân thủ luật pháp nhưng không phân biệt cách xử lý ứng dụng theo quốc gia phát triển.

Lisa Taylor từ vpnMentor nhận định đây là điều "không bất ngờ", vì "Trung Quốc thường dùng nhiều phương thức để thu thập thông tin cá nhân công dân nước khác, thường được che đậy sau vỏ bọc pháp lý". Các VPN miễn phí là vỏ bọc hoàn hảo cho các hoạt động này, thường ghi lại hoạt động người dùng dù tuyên bố ngược lại.

James Maude từ BeyondTrust đồng tình: "Nếu bạn không trả tiền cho sản phẩm, chính bạn là sản phẩm". Các VPN này minh họa rõ ràng cho cái giá thực sự của ứng dụng miễn phí, khi người dùng tìm kiếm sự riêng tư lại vô tình cung cấp dữ liệu cho một quốc gia khác.

Vijay Dilwale từ Black Duck gọi báo cáo của TTP là "hồi chuông cảnh tỉnh" cho thấy VPN - vốn được quảng cáo bảo vệ riêng tư - lại có thể gây rủi ro bảo mật nghiêm trọng, đặc biệt khi chủ sở hữu thật bị che giấu. Những ứng dụng này có quyền truy cập toàn bộ lưu lượng, và khi thuộc kiểm soát Trung Quốc, hậu quả vượt xa vấn đề riêng tư cá nhân.

TTP cho biết tất cả VPN trong danh sách đều được liệt kê là miễn phí, nhưng một số có bán thêm tính năng trong ứng dụng. Sự thiếu minh bạch này là lý do chính khiến chuyên gia khuyên tránh VPN miễn phí, nhất là khi ngày càng nhiều người tìm đến chúng do hạn chế nội dung internet.

Migliano nhấn mạnh "tự do và riêng tư thực sự trên mạng phụ thuộc vào tính minh bạch và niềm tin". Ông chỉ trích Google và Apple tiếp tục cho phép các ứng dụng rủi ro cao dù đã biết về các lỗ hổng bảo mật.

Randolph Barr từ Cequence Security cảnh báo về lo ngại an ninh quốc gia: bản chất không rõ ràng về địa lý và sở hữu của các ứng dụng này là vấn đề lớn với người xử lý dữ liệu nhạy cảm. Ông đề xuất các biện pháp như kiểm tra kỹ ứng dụng đã cài đặt và giám sát liên tục luồng dữ liệu.

Chad Cragle từ Deepwatch nói thêm: "Khi thuộc sở hữu công ty Trung Quốc ẩn sau nhiều lớp công ty bình phong, vấn đề trở nên cực kỳ nghiêm trọng". Ông kêu gọi các nền tảng chịu trách nhiệm, vì đây không chỉ là vấn đề riêng tư mà còn liên quan an ninh quốc gia.

Danh sách ứng dụng cần xóa:

App Store Apple: X-VPN, Ostrich VPN, VPN Proxy Master, Turbo VPN, Private Browser VPN, VPNIFY, VPN Proxy OvpnSpider, WireVPN, Now VPN, Speedy Quark VPN, Best VPN Proxy, AppVPN, HulaVPN, Pearl VPN.

Google Play Store: Turbo VPN, VPN Proxy Master, X-VPN, Speedy Quark VPN, Ostrich VPN, Snap VPN, Signal Secure VPN, VPN Proxy OvpnSpider, HulaVPN, VPN Proxy AppVPN.

Ứng dụng Android vpnify ban đầu nằm trong báo cáo nhưng đã chuyển ra khỏi Trung Quốc và yêu cầu được gỡ khỏi danh sách.