نقص امنیتی در سه فیلترشکن پرطرفدار؛ ممکن است به سرور هکرها متصل شوید!
گروهی از پژوهشگران دانشگاه میشیگان، دانشگاه نیومکزیکو و مؤسسه فناوری دهلی، ۲۸۱ ویپیان رایگان را بهصورت پویا و در چند لایه بررسی کردند. پنج اپ فایل پیکربندی اتصال را بدون رمزنگاری دریافت میکردند؛ فایلی که مشخص میکند برنامه به کدام سرور وصل شود. پژوهشگران نشان دادند مهاجم حاضر در مسیر شبکه میتواند این فایل را تغییر دهد و تونل را به سرور خودش هدایت کند. پس از انتشار عمومی یافتهها در ژوئیه ۲۰۲۶، پژوهشگران نسخههای جدید پنج اپ آسیبپذیر را دوباره آزمایش کردند. مشخص شد که دو اپ Hexa VPN و VPN Pro این مشکل را رفع کردهاند ولی سه اپ BambooVPN، Free VPN و 101 VPN با آنکه به سازندگان اپها هشدار داده شده بود، هشدارها را بیپاسخ گذاشتند و همچنان در برابر ربایش تونل آسیبپذیر هستند.
گروهی از پژوهشگران دانشگاه میشیگان، دانشگاه نیومکزیکو و مؤسسه فناوری دهلی، ۲۸۱ ویپیان رایگان را بهصورت پویا و در چند لایه بررسی کردند. پنج اپ فایل پیکربندی اتصال را بدون رمزنگاری دریافت میکردند؛ فایلی که مشخص میکند برنامه به کدام سرور وصل شود. پژوهشگران نشان دادند مهاجم حاضر در مسیر شبکه میتواند این فایل را تغییر دهد و تونل را به سرور خودش هدایت کند. پس از انتشار عمومی یافتهها در ژوئیه ۲۰۲۶، پژوهشگران نسخههای جدید پنج اپ آسیبپذیر را دوباره آزمایش کردند. مشخص شد که دو اپ Hexa VPN و VPN Pro این مشکل را رفع کردهاند ولی سه اپ BambooVPN، Free VPN و 101 VPN با آنکه به سازندگان اپها هشدار داده شده بود، هشدارها را بیپاسخ گذاشتند و همچنان در برابر ربایش تونل آسیبپذیر هستند.
نقص و آسیبپذیری این سه ویپیان این است که آنها پیش از ساخت تونل ویپیان باید از زیرساخت خود اطلاعاتی مانند فهرست سرورها و تنظیمات اتصال را دریافت کنند. ولی طبق یافته پژوهشگران، فایل پیکربندی از کانال بدون رمزنگاری و قابل خواندن منتقل میشود. در نتیجه، اپراتور، مدیر شبکه، ارائهدهنده اینترنت یا هر فرد دیگری که در مسیر ارتباط قرار دارد، میتواند پاسخ را در راه تغییر دهد. مهاجم لازم نیست رمزنگاری را بشکند؛ کافی است فقط آدرس سرور یا کل پیکربندی را جایگزین کند. برنامه سپس با همان فایل دستکاریشده تونل را میسازد و ممکن است وضعیت «اتصال» و نماد ویپیان را هم نمایش دهد، اما انتهای تونل سروری است که مهاجم کنترل میکند. پژوهشگران این حمله را روی تلفنهای تحت کنترل خود اجرا و عملیبودن آن را تایید کردند. در این وضعیت، مهاجم عملا به اپراتور ویپیان کاربر تبدیل میشود. او میتواند مقصدها، زمان و حجم ارتباط، درخواستهای دیاناس عبوری و ترافیک فاقد رمزنگاری سرتاسری را مشاهده یا دستکاری کند و اتصالها را مسدود یا منحرف سازد.
یکی از این ویپیانها BambooVPN: Turbo Fast VPN است که از گوگلپلی بیش از ۵۰۰ هزار بار دانلود شده و آخرینبار در ژوئیه ۲۰۲۶ بهروزرسانی شده است. سازندگان این ویپیان، این سرویس را با عنوان «حریم خصوصی محکم» و رمزنگاری قوی معرفی کردهاند. BambooVPN پس از دریافت گزارش پژوهشگران وعده داده بود فایل پیکربندی را با HTTPS و اعتبارسنجی صحیح گواهی منتقل کند؛ بااینحال، تیم تحقیق اعلام کرد نسخه جدیدی که دوباره آزمایش کرده همچنان در برابر ربایش تونل باز است.
سرویس ناامن دیگر Free VPN است که بیش از یک میلیون نصب دارد و تاریخ آخرین بهروزرسانی آن در گوگلپلی مه ۲۰۲۶ است. سازنده این سرویس هم آن را با عنوان اتصال امن و رمزنگاری قوی و ناشناسسازی کاربر معرفی کرده است. توسعهدهنده این او هم به افشای اولیه پاسخ نداده و آخرین نسخه آزمایششده اپ همچنان امکان هدایت تونل به سرور مهاجم را دارد.
اپلیکیشن VPN101 سرویس ناامن شناخته شده دیگری است که بیش از ۱۰۰ هزار بار از گوگلپلی دانلود شه و از اکتبر ۲۰۲۴ به بعد بهروزرسانی نشده است. در صفحه گوگلپلی این سرویس هم از «رمزنگاری در سطح نظامی» و اتصال امن صحبت شده است. توسعهدهنده این اپ هم به گزارش پژوهشگران پاسخ نداده و در آزمایش مجدد نیز امکان ربایش تونل همچنان برقرار بود.
این موضوع به این دلیل جدی است که نقص در مرحلهای رخ میدهد که هنوز تونل امن ساخته نشده و کاربر نیز از داخل رابط برنامه راهی برای دیدن آن ندارد. فعالشدن نماد ویپیان فقط وجود یک رابط ویپیان را نشان میدهد؛ نه اینکه سرور مقصد واقعی و معتبر است. این خطر در شبکههای عمومی و محیطهایی که اپراتور یا زیرساخت فیلترینگ توان دستکاری ترافیک را دارد، بسیار جدی و خطرناک است.
برای کاربران داخل ایران، این آسیبپذیری مهمتر است؛ چون ناظر یا واسطهای که در مسیر اینترنت قرار دارد میتواند پیش از شکلگیری تونل امن، فایل تنظیمات را دستکاری کند و برنامه را به سروری تحت کنترل خود متصل کند. در این حالت ممکن است ویپیان روی گوشی «متصل» نشان داده شود، اما گرداننده سرور جعلی بتواند فعالیتهای کاربر را رصد کند یا تغییر دهد و برای شناسایی الگوی فعالیت کاربر تلاش کند.