Une application VPN populaire – SwingVPN – n’envoie pas seulement des données cryptées. Cela fait également de votre téléphone portable une partie d’un botnet.

Des rapports récents sur SwingVPN montrent une fois de plus à quel point l’utilisation de logiciels non libres pour protéger ses données peut être critique pour la confidentialité et la sécurité en ligne globale.

Plus de 5 millions d’utilisateurs potentiellement concernés

5 millions de téléchargements et 4,4 étoiles, c’est ainsi que SwingVPN se présente dans le Play Store. Mais il y a un petit monstre caché sous la façade minimaliste : selon un rapport, l’application vous fait partie d’un botnet et participe à des attaques DDoS. Nous avons obtenu l’accès aux données collectées et, après les avoir analysées, sommes arrivés à la même conclusion. Cependant, nous n’avons pas exécuté l’application elle-même. L’application iOS ne serait pas affectée par ce problème.

Le billet de blog du découvreur décrit comment avant même une connexion aux serveurs de SwingVPN, des requêtes sont faites chaque seconde à des serveurs comme ceux de turkmenistanairlines.tm être envoyé. Il est donc raisonnable de supposer que ces requêtes sont malveillantes. Surtout quand on regarde le vieillissement API IATA regarde

Les autres principales cibles de l’application SwingVPN sont les sites gouvernementaux turkmènes tels que science.gov.tm et railway.gov.tm.

Les référentiels mentionnés dans la publication et leurs comptes n’existent plus sur GitHub. Cependant, les référentiels clonés ont été mis à notre disposition et contiennent les données décrites, y compris un historique allant jusqu’à 76 000 commits.

Avec SwingVPN, la protection des données s’écrit en minuscules

Un petit plaisir a également été révélé dans une analyse du trafic immédiatement après l’installation : l’application ne respecte pas les règles de protection des données et envoie des données utilisateur même sans le consentement de l’utilisateur.

SwingVPN n’a pas encore répondu à notre demande. Si nous recevons une réponse, nous l’ajouterons bien sûr.

Conclusion

Une fois de plus, nous voyons : Il n’y a pas moyen de contourner l’utilisation de logiciels libres si vous voulez protéger votre vie privée. Bien sûr, personne ne peut vérifier manuellement tous les projets open source, mais l’ouverture simplifie grandement une vérification et une telle inconduite peut être découverte beaucoup plus rapidement.