25/04/22
Шесть крупных компаний, занимающихся виртуальными частными сетями, устанавливают корневые сертификаты, которые могут использованы злоумышленниками для наблюдения за пользователями.
VPN предназначены для защиты пользователей, направляя все данные через доверенную службу, которая шифрует личную информацию. Однако, по результатам расследования AppEsteem стало известно, что шесть самых известных VPN-сервисов (Surfshark, Atlas VPN, VyprVPN, VPN Proxy Master, Sumrando VPN и Turbo VPN) делают это крайне опасным образом. Каждая из служб устанавливает доверенный корневой центр сертификации на устройствах пользователей, подвергая их конфиденциальность опасности.
Установка доверенных корневых сертификатов не является хорошей практикой. Если сертификат будет скомпрометирован, злоумышленник сможет подделать больше сертификатов, выдать себя за другие домены и перехватить сообщения пользователей.
Это означает, что даже если пользователь использует службу, которая сама зашифрована, VPN-провайдер и киберпреступники могут перезаписать это шифрование и перехватить все данные.
Представитель Surfshark сообщил, что данная проблема была решена, хотя и касается только систем под управлением Windows.
