دراسة تكشف: 281 تطبيق VPN مجاني بأندرويد يسرب البيانات ويتعقب المستخدمين
فريق جلتشمنذ 3 ساعات0 مشاهدة5 دقائق

أظهرت دراسة حديثة أن معظم تطبيقات VPN المجانية على أندرويد تفشل في حماية خصوصية المستخدمين، مما يعرضهم لتسرب البيانات والتتبع. هذه التطبيقات، التي يثق بها الملايين، لا تفي بوعودها الأساسية في الأمان.
مقدمة تحليلية
دراسة حديثة أجريت على 281 تطبيق VPN مجاني شهير على متجر Google Play كشفت أن 29 منها تسمح بتسرب حركة مرور المستخدمين، و61 تطبيقًا يرسل بيانات نصية صريحة قابلة للقراءة. هذا البحث، الذي قدم في مؤتمر NDSS الأمني في فبراير 2026، يطعن مباشرة في الفرضية الأساسية التي يقوم عليها استخدام الشبكات الافتراضية الخاصة: الأمان والخصوصية. تطبيقات VPN، التي يفترض بها حماية البيانات، تفشل بوضوح في أدائها الأساسي، مع تطبيقات تم تثبيتها أكثر من 2.4 مليار مرة تظهر عيوبًا أمنية جسيمة. الوضع ينذر بالخطر، خاصة وأن هذه المشاكل ليست معقدة بل أساسية، مما يشير إلى إهمال مطوري هذه التطبيقات. المستخدمون يعتقدون أنهم يحمون أنفسهم، بينما هم في الواقع يعرضون بياناتهم للخطر.التحليل التقني
نظام الاختبار الجديد، MVPNalyzer (أداة تحليل VPNs المحمولة مصممة للكشف عن تسرب البيانات والضعف الأمني في تطبيقات VPN على أندرويد)، قدمه باحثون من جامعة ميشيغان وجامعة نيو مكسيكو وIIT دلهي. هذا النظام، وهو امتداد لدراسة VPNalyzer السابقة التي ركزت على برامج VPN لسطح المكتب، يعد الأول من نوعه لتدقيق تطبيقات VPN على أندرويد بشكل منهجي ومتكرر. النتائج صادمة:- تسرب DNS وحركة المرور: 29 تطبيقًا سمحت بتسرب حركة مرور المستخدمين خارج النفق المشفر، منها 24 تطبيقًا كشفت عن استعلامات DNS (المواقع التي يزورها المستخدمون)، مما يؤثر على حوالي 360 مليون عملية تثبيت. ستة تطبيقات سربت حركة المرور الكاملة للتصفح، وأربعة منها عملت 'أنفاقًا' بدون أي تشفير على الإطلاق.
- إرسال البيانات بالنص الصريح: 61 تطبيقًا أرسلت بعض البيانات بنص صريح، مما يتيح لأي شخص يراقب الشبكة قراءتها. الأسوأ من ذلك، خمسة من هذه التطبيقات أرسلت ملف التكوين الخاص بها بنص صريح. هذا يتيح للمهاجمين على نفس الشبكة، مثل شبكة Wi-Fi عامة، إعادة توجيه الاتصال إلى خادم تحت سيطرتهم.
- التطبيقات الخمسة المتضررة:
- BambooVPN: Turbo Fast VPN (`free.vpn.unblock.proxy.bamboovpn`)
- VPN Pro (`com.nebulatech.voocvpnpro`)
- Free VPN (`com.appoxide.freevpn`)
- Hexa VPN (`com.secure.vpn.proxy`)
- 101 VPN (`com.shwe.vpn101`)
- 'VPN Pro' و 'Hexa VPN' قاما بإصلاح المشكلة لاحقاً، بينما 'BambooVPN' و 'Free VPN' و '101 VPN' ما زالت عرضة للاختراق.
- التطبيقات الخمسة المتضررة:
- تتبع المستخدمين: 76 تطبيقًا أرسلت معرف الجهاز الإعلاني (Advertising ID) الخاص بالمستخدم، وهو رمز فريد يستخدمه المعلنون لتتبع الأفراد عبر التطبيقات. أكثر من 80% من التطبيقات (246 تطبيقًا) اتصلت بخوادم إعلانية وتتبع معروفة. بعض التطبيقات أرسلت تفاصيل مثل طراز الهاتف، إصدار نظام التشغيل، وحجم الشاشة، والتي يمكن دمجها لتكوين 'بصمة' فريدة للجهاز. تطبيق واحد أرسل حتى إحداثيات GPS الدقيقة للهاتف.
- ضعف التشفير والتكوينات: من بين 108 تطبيقًا تم تحليل ملفات تكوين OpenVPN المرفقة بها، تطبيق واحد فقط اتبع جميع أفضل الممارسات الأمنية. حوالي 89% اعتمدت على طريقة مصادقة واحدة فقط (كلمة مرور أو شهادة) بدلاً من الجمع بينهما. ما يقرب من واحد من كل خمسة استخدم تشفيرًا ضعيفًا أو قديمًا، بما في ذلك خوارزميات Blowfish و Triple DES التي تحمل نقاط ضعف معروفة منذ فترة طويلة (مثل CVE-2016-6329 و CVE-2016-2183). عدد قليل من التطبيقات عينت تشفير البيانات في النفق على 'لا شيء'، مما يعني إلغاء التشفير بالكامل. هذه المشكلات، في الغالب، تعود إلى قلة صيانة التطبيقات وتجاوزها لعمليات التحقق التلقائية في متجر Play.
السياق وتأثير السوق
سوق تطبيقات VPN المجانية هو حقل ألغام، والوعود التي يقدمها تتناقض بحدة مع الواقع التقني. غالبية هذه التطبيقات، التي تروج لنفسها كحلول للخصوصية، تقوم فعليًا بجمع البيانات وتتبع المستخدمين، بل وتفشل في أساسيات التشفير.- تطبيقات VPN 'الآمنة' مقابل المخاطر:
- ما تروج له التطبيقات: حماية الخصوصية، تجاوز الرقابة، إخفاء الهوية، 'Verified' badge من Google.
- الواقع المروع: تسرب DNS وحركة المرور، بيانات غير مشفرة، سرقة النفق، تتبع إعلاني مكثف، تكوينات تشفير ضعيفة أو غائبة، سهولة التعرف على حركة مرور VPN.
- فشل Google Play في التدقيق: على الرغم من وجود 'ملصقات السلامة' (safety labels) و'شارة التحقق' (Verified badge) من Google لتطبيقات VPN، فإن هذه الآليات فشلت في اكتشاف المشكلات الأساسية التي كشفت عنها دراسة MVPNalyzer. جوجل تشير إلى سياساتها، وتؤكد أن المطور هو المسؤول عن إعلانات ممارسات البيانات، وهذا لا يعفي المنصة من مسؤولية حماية مستخدميها من تطبيقات تروج للخصوصية بينما تقوضها.
- الخسارة الجماعية للثقة: المستخدمون الذين يعتمدون على هذه التطبيقات يعرضون أنفسهم لتهديدات خطيرة دون علمهم. الشركات التي تعتمد على بيانات مستخدميها عبر هذه التطبيقات تفقد مصداقيتها. فشل هذه التطبيقات في الوفاء بوعودها ليس مجرد إزعاج؛ إنه خرق للثقة الأساسية.
- مقارنات مع دراسات سابقة: هذه الدراسة ليست حالة منعزلة. في أغسطس 2025، وجد باحثون من Citizen Lab وجامعة ولاية أريزونا أن العديد من تطبيقات VPN الشهيرة على أندرويد، مع أكثر من 700 مليون عملية تنزيل مجمعة، كانت مرتبطة سرًا وتشارك كلمات مرور ثابتة وتجمع بيانات الموقع بصمت. في أكتوبر 2025، ذكرت شركة Zimperium للأمن المحمول أن ثلاثة من حوالي 800 تطبيق VPN مجاني اختبرتها ما زالت تحتوي على نسخة من مكتبة OpenSSL المعرضة لثغرة Heartbleed القديمة. هذه الدراسات المتتالية ترسم صورة واضحة: سوق تطبيقات VPN المجانية يعاني من هندسة ضعيفة بشكل مزمن.
رؤية Glitch4Techs
تطبيقات VPN المجانية على أندرويد هي ثقب أسود للخصوصية والأمان، ويجب على المستخدمين تجنبها تمامًا. الأبحاث المتكررة، مثل دراسة MVPNalyzer، تقدم أدلة دامغة على أن الغالبية العظمى من هذه التطبيقات لا توفر الحماية الموعودة، بل على العكس تمامًا، تعرض المستخدمين لمخاطر أكبر بكثير. ادعاءات 'عدم الاحتفاظ بالسجلات' (no-logs) و'التحقق' (verified) من قبل Google هي مجرد أوراق تين لا تخفي شيئًا. مسؤولية المنصات، مثل Google Play، لا تنتهي عند توفير 'شارة التحقق' التي لا تمنع تسرب DNS أو سرقة النفق. يجب على Google اتخاذ إجراءات فورية وحاسمة لإزالة هذه التطبيقات الخطيرة من متجرها. لا يوجد مبرر لوجود تطبيقات تبيع الوهم بالأمان بينما تعمل كقنوات للتتبع والاختراق. على المستخدمين أن يدركوا أن 'المجاني' في عالم الأمن غالبًا ما يعني أنهم هم المنتج.النشرة البريدية
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.
ملخّص أسبوعي تقرأه في ٥ دقائقبلا إزعاج — إلغاء الاشتراك بنقرة واحدة
مقالات قد تهمك

أمن المعلومات
CISA بنت خطة استجابتها أثناء الحادثة: كارثة أمنية أم درس قاسٍ؟

أمن المعلومات
فضيحة WP-SHELLSTORM: خادم مكشوف يكشف اختراق آلاف مواقع ووردبريس

أمن المعلومات
خرق بيانات AssuranceAmerica يفضح سجلات 7 ملايين سائق: كارثة تأمينية جديدة

أمن المعلومات