سادگی رابط کاربری و فراوانی کانفیگهای رایگان و کمحجم بودن این کانفیگها باعث شد این برنامه خیلی زود به گزینه اول بسیاری از کاربران تبدیل شود. اما همین وابستگی شدید به کانفیگها، نقطهضعف اصلی آن است. کانفیگهایی که اغلب در کانالهای ناشناس، گروههای موقت و بدون هیچ شفافیتی درباره مالک سرور، محل میزبانی یا سیاستهای ذخیرهسازی داده منتشر میشوند.
یکی از کارشناس امنیت سایبری (که به درخواست او نامش ذکر نمیشود) در گفتوگو با زومیت میگوید: «بزرگترین اشتباه کاربران این است که فکر میکنند هر چیزی که ترافیک را رمز میکند، الزاما امن است. در بسیاری از فیلترشکنهای کانفیگی، شما عملا تمام ارتباطات اینترنتیتان را به سروری میسپارید که هیچ شناختی از صاحب آن ندارید.»
به بیان ساده، وقتی کاربر از یک کانفیگ آماده استفاده میکند، تمام دادهها—از بازدید سایتها گرفته تا نام کاربری و رمز عبور—از مسیری عبور میکند که کنترل آن در اختیار فرد یا گروه ناشناسی است. اگر این سرور بهدرستی تنظیم نشده باشد یا بهعمد برای جمعآوری داده طراحی شده باشد، هیچ مانعی برای شنود یا ثبت اطلاعات وجود ندارد.
در واقع قطعی اینترنت طاقت کاربران را به جایی میرساند که حاضر میشوند ریسکهای امنیتی را به جان بخرند تا فقط بتوانند در هوای جهانی اینترنت تنفس کنند. در شرایط بحرانی، همین ابزارها امکان دسترسی حداقلی به اینترنت را برای میلیونها کاربر فراهم کردند.
این کارشناس امنیت باور دارد: «بهطور خاص درباره hA Tunnel Plus، این برنامه از روش تونلسازی HTTP/HTTPS استفاده میکند که میتواند توسط برخی سیستمهای آنالیز ترافیک عمیق (DPI) شناسایی شود. اما مساله اصلی معماری آن است: بیشتر کانفیگهای منتشرشده از سرورهای اشتراکی با پورتهای مشترک استفاده میکنند که باعث میشود ترافیک هزاران کاربر شبیه به هم به نظر برسد.»
به گفته او، این وضعیت همزمان هم یک مزیت است و هم یک تهدید: «از یک سو، استفاده جمعی از یک سرور مشترک، تشخیص و مسدودسازی آن را توسط سیستمهای نظارتی دشوار میکند. اما از طرفی هم در صورت شناسایی یا نفوذ به همان سرور، تمامی کاربران متصل به آن میتوانند بهطور همزمان افشا و در معرض خطر قرار گیرند.»
این کارشناس با اشاره به یک باور غلط رایج تاکید میکند: «درست است که پروتکل HTTPS محتوای ترافیک شما را رمزنگاری میکند و صاحب سرور VPN نمیتواند مستقیما رمز دوم کارت شما را در یک درگاه معتبر ببیند، اما این به معنای امنیت مطلق نیست.» او ادامه میدهد:
«خطر اصلی اینجاست که اپلیکیشنهای آلوده یا کانفیگهای مخرب، با نصب یک گواهی دیجیتال جعلی (Root CA) روی گوشی، میتوانند این لایه امنیتی را دور بزنند و ترافیک رمزنگاریشده را بازگشایی و شنود کنند؛ ضمن این که حتی در حالت عادی هم، مقصد تمام بازدیدهای شما و زمان اتصالتان برای صاحب سرور کاملاً شفاف است.»
احتمال فیشینگ هم وجود دارد
به گفته این کارشناس امنیت، مسئله فقط دیدن ترافیک عبوری نیست؛ خطر اصلی به دستکاری DNS برمیگردد: «وقتی شما کانفیگ یک فرد ناشناس را در اپلیکیشن ایمپورت میکنید، در واقع درخواستهای DNS خود را به سرور او میفرستید. در این حالت، مهاجم میتواند بهجای هدایت شما به سایت اصلی بانک یا صرافی، شما را بدون این که متوجه شوید به یک صفحه فیشینگ دقیقا مشابه هدایت کند.»
