قام الباحثون بتشغيل 281 من تطبيقات VPN المجانية الأكثر شيوعًا على متجر Google Play من خلال نظام اختبار جديد، ووجدوا أن الكثير منها يفشل في الأساسيات التي يقوم الأشخاص بتثبيت VPN من أجلها، على سبيل المثال، الحفاظ على خصوصية حركة المرور الخاصة بهم وأمانها.

تم وضع علامة على التطبيقات التي تحتوي على مشكلة واحدة على الأقل أكثر من 2.4 مليار مرة.

المشاكل أساسية وليست معقدة. يسمح 29 تطبيقًا بتسرب حركة مرور المستخدم خارج النفق المشفر، بما في ذلك عمليات بحث DNS التي تكشف مواقع الويب التي تزورها. يرسل 61 تطبيقًا بعض البيانات بنص عادي يمكن لأي شخص يشاهد حركة المرور على تلك الشبكة قراءتها.

يرسل خمسة من هؤلاء ملف تكوين التطبيق بشكل واضح، مما يسمح للمهاجم على الشبكة بإعادة توجيه الاتصال إلى الخادم الذي يتحكمون فيه.

النظام، ودعا MVPNalyzerتم تقديمه في مؤتمر NDSS الأمني ​​في فبراير 2026 من قبل باحثين في جامعة ميشيغان وجامعة نيو مكسيكو ومعهد IIT دلهي.

إنه نظير متنقل لدراسة VPNalyzer السابقة التي أجراها المختبر نفسه لبرنامج VPN لسطح المكتب، ويصفه الباحثون بأنه أول إطار عمل مصمم لمراجعة تطبيقات Android VPN بشكل منهجي ومتكرر.

تقوم شبكة VPN بتغليف حركة المرور الخاصة بك في نفق مشفر حتى لا يتمكن مزود الإنترنت الخاص بك، أو المتنصت على الشبكة، من رؤية ما تفعله. والمقايضة هي أن تطبيق VPN يرى الآن كل ذلك. أنت لا تزيل الحاجة إلى الثقة بشخص ما. أنت تقوم بنقل هذه الثقة من مزود الإنترنت الخاص بك إلى من قام ببناء التطبيق.

تتساءل الدراسة عما إذا كانت هذه التطبيقات تستحق ذلك. بالنسبة للكثيرين، لا يفعلون ذلك.

أخطر عيب: اختطاف الأنفاق

تتضمن أسوأ النتائج تلك التطبيقات الخمسة التي تقوم بتنزيل ملف التكوين الخاص بها دون تشفير. يخبر هذا الملف التطبيق بالخادم الذي سيتم الاتصال به. إذا تم نقله بنص عادي، فيمكن للمهاجم الموجود على نفس الشبكة، مثل مشغل Wi-Fi عام، إعادة كتابته أثناء النقل وتوجيه التطبيق إلى خادم يتحكم فيه.

بنية إطار عمل MVPNalyzer

يتصل المستخدم، ويرى الشاشة “المتصلة” المعتادة، ويوجه كل شيء عبر المهاجم. وقام الباحثون ببناء هذا الهجوم وأكدوا أنه يعمل على الهواتف الخاضعة لسيطرتهم.

لقد وضعوا علامة على المشكلة لجميع مقدمي الخدمة الخمسة كأولوية. استجاب اثنان، ووعدا بنقل الملف إلى HTTPS. قال أحدهم إنه سيرسل ملفات التكوين “بشكل آمن باستخدام HTTPS مع التحقق المناسب من صحة الشهادة”. أما الثلاثة الآخرون فلم يعترفوا بذلك.

تسريبات وتطبيقات لا تخفي شيئًا

من بين 29، 24 حركة مرور DNS مسربة، مما يعرض المواقع التي زارها المستخدمون إلى الشبكة المحلية؛ تمثل هذه التطبيقات وحدها حوالي 360 مليون عملية تثبيت. ستة منها سربت حركة التصفح الكاملة خارج النفق، وأربعة منها قامت بتشغيل “أنفاق” بدون تشفير على الإطلاق، مع فشل بعض التطبيقات بأكثر من طريقة.

بشكل منفصل، لم يقم 169 تطبيقًا بأي محاولة لإخفاء حركة المرور الخاصة بهم على أنها أي شيء آخر غير VPN، بحيث يمكن لمشغل الشبكة أو الرقابة الحكومية اكتشافها وحظرها باستخدام الأدوات الأساسية. يعلن ما يقرب من ثلثي هذه التطبيقات أنها تغلبت على الحظر أو فتح المحتوى المقيد. إنهم يقطعون الوعد ولا يفعلون شيئًا للوفاء به.

بالنسبة لشخص ما في بلد يعد فيه استخدام VPN بحد ذاته أمرًا محفوفًا بالمخاطر، فإن سهولة التعرف عليه كمستخدم VPN هو عكس ما قام بالتسجيل فيه.

التتبع، من التطبيقات المصممة لإيقافه

غالبًا ما يقوم الأشخاص بتثبيت شبكات VPN لتجنب تعقبهم. تتبع العديد من هذه التطبيقات على أي حال. أرسل 76 معرف الإعلان الخاص بالجهاز، وهو رمز فريد يستخدمه المعلنون لمتابعة شخص ما من تطبيق إلى آخر.

ووجدت الدراسة أن أكثر من 80% من التطبيقات، 246 منها، اتصلت بخوادم إعلانات وتتبع معروفة. أرسل الكثيرون أيضًا تفاصيل مثل طراز الهاتف وإصدار نظام التشغيل وحجم الشاشة.

تبدو تلك العناصر بمفردها غير ضارة، ولكنها مجتمعة تشكل “بصمة” يمكنها تمييز جهاز واحد. حتى أن أحد التطبيقات أرسل إحداثيات GPS الدقيقة للهاتف.

إعدادات ضعيفة تحت الغطاء

قام الباحثون أيضًا بفصل ملفات تكوين OpenVPN المجمعة مع 108 من التطبيقات، وهو فحص منفصل عن اختبارات حركة المرور المباشرة أعلاه. واحد فقط اتبع كل أفضل الممارسات الأمنية التي قامت الدراسة بقياسها.

واعتمد حوالي 89% منهم على طريقة مصادقة واحدة، إما كلمة مرور أو شهادة، بدلاً من الجمع بين الاثنين. ويستخدم ما يقرب من واحد من كل خمسة تشفيرًا ضعيفًا أو قديمًا، بما في ذلك تشفير السمكة المنتفخة القديمة وتقنية DES الثلاثية. يقوم عدد قليل منهم بضبط تشفير بيانات النفق على لا شيء، مما يؤدي إلى إيقاف التشفير تمامًا. يحمل كلا الشفرتين القديمتين نقاط ضعف معروفة منذ فترة طويلة (CVE-2016-6329 وCVE-2016-2183) والتي تسمح للمهاجم باستعادة البيانات من الاتصالات طويلة الأمد.

تعود معظم هذه المشكلات إلى نفس الجذر: بالكاد تتم صيانة التطبيقات، وتسمح لها عمليات الفحص التلقائية في متجر Play بالمرور. يتم تصنيف العديد منها ضمن أفضل نتائج البحث، حيث تهدف تسميات الأمان الخاصة بشركة Google وشارة “التحقق منها” لتطبيقات VPN إلى الإشارة إلى الثقة. تقول الدراسة إن هذه العلامات تعمل كإشارات تسويقية أكثر من كونها ضمانًا أمنيًا حقيقيًا.

هذه ليست لمرة واحدة

وتشير الأبحاث الحديثة الأخرى بنفس الطريقة. في أغسطس 2025، وجد الباحثون في Citizen Lab بجامعة تورونتو وجامعة ولاية أريزونا أن العديد من تطبيقات Android VPN الشهيرة، مع أكثر من 700 مليون عملية تنزيل مجمعة، كانت مرتبطة سرًا، وتتشارك كلمات مرور مشفرة، وبيانات الموقع المجمعة بهدوء.

في أكتوبر 2025، أفادت شركة Zimperium لأمن الأجهزة المحمولة أن ثلاثة من تطبيقات VPN المجانية التي اختبرتها والتي يبلغ عددها حوالي 800 تطبيق لا تزال تحتوي على نسخة من مكتبة OpenSSL معرضة لثغرة Heartbleed، وهو خطأ معروف تم تصحيحه في عام 2014. كما طلب الكثير منهم أذونات الهاتف بما يتجاوز بكثير ما تحتاجه VPN.

تحكي الدراسات الثلاث قصة واحدة: تستمر تطبيقات VPN المجانية في ربط مستوى الخصوصية القوي بالهندسة الضعيفة، وتستمر في الوصول إلى ملايين التثبيتات قبل أن يتمكن أي شخص من اكتشافها.

ما يمكن للمستخدمين القيام به

أخطر العيوب هنا، جلب تكوين النص الواضح وإعدادات النفق الضعيفة، غير مرئية من جانب المستخدم. لا يمكنك اكتشافهم من خلال النظر إلى التطبيق، وهذه هي المشكلة برمتها. لذا فإن الدفاع الحقيقي ليس هو البروتوكول الذي يعلن عنه التطبيق. ومن يقف وراء ذلك.

تفضيل مقدمي الخدمات الذين ينشرون تدقيقًا أمنيًا مستقلاً حديثًا. كن حذرًا من التطبيقات المجانية التي تدفنك في الإعلانات. وتعامل مع المطالبات “التي تم التحقق منها” أو “عدم الاحتفاظ بالسجلات” كنقطة بداية، وليس كدليل.

يقوم الباحثون بإدراج كل التطبيقات التي تم وضع علامة عليها في ملحق الورقة، حتى تتمكن من التحقق مما إذا كان التطبيق الموجود على هاتفك من بينها.

ويخطط الفريق لإصدار MVPNalyzer علنًا حتى تتمكن متاجر التطبيقات والجهات التنظيمية من إجراء هذه الفحوصات بأنفسهم. وعلى هذه الأدلة سيتعين عليهم ذلك.

سألت Hacker News شركة Google عما إذا كانت تقوم بمراجعة التطبيقات التي تم الإبلاغ عنها أو إزالتها، وعن ردها على نتائج الدراسة التي تفيد بأن ملصقات الأمان في متجر Play وشارة “تم التحقق منه” تعمل كتسويق أكثر من كونها ضمانات أمنية. لقد طلبنا أيضًا من فريق بحث MVPNalyzer تحديد التطبيقات الخمسة المعرضة لاختراق الأنفاق والتأكد مما إذا كان مقدمو الخدمة الذين تم إخطارهم قد نشروا الإصلاحات منذ ذلك الحين. سيتم تحديث هذه القصة مع أي رد.

شاركها.
اترك تعليقاً