سادگی رابط یوزری و فراوانی کانفیگهای رایگان و کمحجم بودن این کانفیگها باعث شد این برنامه خیلی زود به گزینه اول بسیاری از یوزران تبدیل شود. اما همین وابستگی شدید به کانفیگها، نقطهضعف اصلی آن است. کانفیگهایی که اغلب در کانالهای ناشناس، گروههای موقت و بدون هیچ شفافیتی معرفی مالک سرور، محل میزبانی یا سیاستهای ثبتسازی داده منتشر میشوند.
یکی از کارشناس ایمنی سایبری (که به درخواست او نامش ذکر نمیشود) در گفتوگو با زومیت میگوید: «بزرگترین اشتباه یوزران این است که فکر میکنند هر چیزی که ترافیک را رمز میکند، الزاما امن است. در بسیاری از فیلترشکنهای کانفیگی، شما عملا تمام ارتباطات اینترنتیتان را به سروری میسپارید که هیچ شناختی از صاحب آن ندارید.»
به بیان ساده، وقتی یوزر از یک کانفیگ آماده استفاده میکند، تمام دادهها—از بازدید سایتها گرفته تا نام یوزری و پسورد—از مسیری عبور میکند که کنترل آن در اختیار فرد یا گروه ناشناسی است. اگر این سرور بهدرستی تنظیم نشده باشد یا بهعمد برای جمعآوری داده طراحی شده باشد، هیچ مانعی برای شنود یا ذخیره اطلاعات وجود ندارد.
در واقع قطعی اینترنت طاقت یوزران را به جایی میرساند که حاضر میشوند ریسکهای ایمنیی را به جان بخرند تا فقط بتوانند در هوای جهانی اینترنت تنفس کنند. در شرایط بحرانی، همین ابزارها امکان اجازه دسترسی حداقلی به اینترنت را برای میلیونها یوزر فراهم کردند.
این کارشناس ایمنی باور دارد: «بهطور خاص درباره hA Tunnel Plus، این برنامه از روش تونلسازی HTTP/HTTPS استفاده میکند که میتواند توسط برخی سیستمهای آنالیز ترافیک عمیق (DPI) شناسایی شود. اما مساله اصلی معماری آن است: بیشتر کانفیگهای منتشرشده از سرورهای اشتراکی با پورتهای مشترک استفاده میکنند که باعث میشود ترافیک هزاران یوزر شبیه به هم به نظر برسد.»
به گفته او، این وضعیت همزمان هم یک مزیت است و هم یک تهدید: «از یک سو، استفاده جمعی از یک سرور مشترک، تشخیص و مسدودسازی آن را توسط سیستمهای نظارتی دشوار میکند. اما از طرفی هم در صورت شناسایی یا نفوذ به همان سرور، تمامی یوزران متصل به آن میتوانند بهطور همزمان افشا و در معرض خطر قرار گیرند.»
این کارشناس با اشاره به یک باور غلط رایج تاکید میکند: «درست است که قانون ارتباط HTTPS محتوای ترافیک شما را رمزنگاری میکند و صاحب سرور VPN ناتوان است مستقیما رمز دوم کارت شما را در یک درگاه معتبر ببیند، اما این به معنای ایمنی مطلق نیست.» او ادامه دادن میدهد:
«خطر اصلی اینجاست که اپلیکیشنهای آلوده یا کانفیگهای مخرب، با شروع کردن کردن یک گواهی دیجیتال جعلی (Root CA) روی گوشی، میتوانند این لایه ایمنیی را دور بزنند و ترافیک رمزنگاریشده را بازگشایی و شنود کنند؛ ضمن این که حتی در حالت عادی هم، مقصد تمام بازدیدهای شما و زمان وصل شدنتان برای صاحب سرور کاملاً شفاف است.»
احتمال فیشینگ هم هست
به گفته این کارشناس ایمنی، مسئله فقط دیدن ترافیک عبوری نیست؛ خطر اصلی به دستکاری DNS برمیگردد: «وقتی شما کانفیگ یک فرد ناشناس را در اپلیکیشن ایمپورت میکنید، در واقع درخواستهای DNS خود را به سرور او میفرستید. در این حالت، مهاجم میتواند بهجای هدایت شما به سایت اصلی بانک یا صرافی، شما را بدون این که متوجه شوید به یک صفحه فیشینگ دقیقا مشابه هدایت کند.»
