Trend Micro explica como os aplicativos de proxy expõem ao risco
Nesta investigação, a companhia analisou vários aplicativos proeminentes de "renda passiva" e descobriu que pode haver riscos de segurança ao participar desses programasExistem muitas histórias on-line e postagens em blog ensinando as pessoas a obter “renda passiva” compartilhando poder de computação sobressalente ou por meio de banda larga de internet não utilizada. Quando os usuários instalam, voluntária ou involuntariamente, tal software em seus computadores, os sistemas se tornam agentes de uma rede distribuída. Os operadores dessa rede distribuída podem monetizá-la vendendo serviços de proxy para seus clientes pagantes. Embora os sites que hospedam o software de “renda passiva” enfatizem casos de uso legítimos, esse software pode representar riscos de segurança para os downloaders. Isso ocorre porque alguns clientes pagantes desses serviços de proxy podem estar usando-os para fins antiéticos ou mesmo ilegais.
Nesta investigação, a Trend Micro estudou vários aplicativos proeminentes de “renda passiva”, que transformam os computadores que os executam em proxies IP residenciais, e esses proxies são vendidos a clientes para serem usados como “proxies IP residenciais”. Os aplicativos geralmente são promovidos por meio de programas de referência, com muitos YouTubers e blogueiros famosos promovendo-os. Também foi investigado desenvolvedores questionáveis que agrupam aplicativos de “renda passiva” com bibliotecas de terceiros. Isso significa que os downloaders não sabem sobre os aplicativos de “renda passiva”, e se a renda realmente vai para os desenvolvedores. Os usuários estão expostos a riscos desproporcionais, pois não podem controlar as atividades realizadas usando seus endereços IP residenciais/móveis.
Existem alguns exemplos de empresas que usam o esquema de monetização de “compartilhamento de banda larga de rede”, essas incluem a HoneyGain, TraffMonitizer, Peer2Profit, PacketStream e IPRoyal Pawns, entre outras. Essas organizações oferecem aos usuários uma maneira passiva de ganhar dinheiro on-line baixando e executando seu agente de software. Normalmente, os usuários compartilham sua conexão e obtêm créditos, que posteriormente podem ser convertidos em dinheiro real. Os que buscam renda farão o download do software para compartilhar sua banda larga e em seguida ganhar dinheiro, mas as empresas vendem para os clientes que desejam serviços de proxy residencial. Os sites das companhias listam alguns motivos pelos quais alguém pode precisar de serviços de proxy: pesquisa demográfica, contornar restrições geográficas para jogos, caçar pechinchas e motivos de privacidade.
De acordo com um painel compartilhado por um blogueiro, as referências representam uma parcela ainda maior (mais de 50% neste gráfico) da receita dele.
Mesmo com os números de destaque mostrados no gráfico, no entanto, o blogueiro afirmou que ganhava cerca de US$ 20 por mês. Mas os usuários não têm garantia de receber nem mesmo esse baixo nível de receita regularmente, ou de forma alguma. E, em troca dessa receita incerta, os usuários estão sendo solicitados a aceitar regularmente níveis desconhecidos de risco. Esses serviços de “compartilhamento de banda larga de rede” afirmam que a conexão de internet dos usuários será usada principalmente para pesquisas de marketing ou outras atividades semelhantes. Portanto, as pessoas que compartilham sua conexão com a Internet estão ganhando dinheiro on-line e, ao mesmo tempo, ajudando a “indústria”.
No entanto, para examinar e entender o tipo de risco a que um usuário em potencial pode estar exposto ao ingressar em tais programas, registramos e analisamos o tráfego de rede de um grande número de nós de saída de vários serviços de compartilhamento de banda larga diferentes (nós de saída são computadores que tinham esses nós de banda larga de rede serviços de compartilhamento instalados).
Em primeiro lugar, a observação dos pesquisadores da Trend Micro confirmou que o tráfego de outros parceiros de aplicativos é canalizado para nosso nó de saída e a maior parte dele é legítimo. Encontram tráfego normal, como navegar em sites de notícias, ouvir fluxos de notícias ou até mesmo navegar em sites de compras on-line. Mas também identificaram algumas conexões questionáveis, essas demonstraram que alguns usuários estavam realizando atividades suspeitas ou possivelmente ilegais em determinados países e, na maioria dos casos, os editores de aplicativos provavelmente não seriam legalmente responsáveis por atividades suspeitas ou maliciosas de terceiros que usam seus serviços de proxy. Sendo assim, aqueles que instalaram os aplicativos de “compartilhamento de banda larga” não têm como controlar ou mesmo monitorar que tipo de tráfego passa por seu nó de saída. Portanto, esses aplicativos de compartilhamento de rede são classificados como aplicativos de riskware que chamamos de proxyware.
Na pesquisa foi possível verificar várias instâncias de acesso automatizado a provedores terceirizados de SMS PVA. O que são serviços SMS PVA? São, esses serviços que costumam ser usados para registro em massa de contas em serviços on-line. Por que as pessoas costumam usá-los em combinação com proxies? Essas contas geralmente estão vinculadas a uma determinada localização geográfica ou região, e a localização ou região deve corresponder ao número de telefone que está sendo usado no processo de registro. Assim, os usuários de serviços SMS PVA desejam que seu endereço IP de saída corresponda à localidade do número e, às vezes, usam um serviço específico (no caso de um serviço ser acessível apenas em uma determinada região).
A injeção de SQL é uma varredura de segurança comum que tenta explorar vulnerabilidades de validação de entrada do usuário para despejar, excluir ou modificar o conteúdo de um banco de dados. Existem diversas ferramentas que automatizam essa tarefa. No entanto, fazer varreduras de segurança sem a devida autorização e fazer varreduras de injeção de SQL sem uma permissão por escrito do proprietário do site é uma atividade criminosa em muitos países e pode resultar em processo. Foi possível observar diversas tentativas de sondar vulnerabilidades de injeção SQL de muitos softwares de “renda passiva”. Esse tipo de tráfego é arriscado e os usuários que compartilham suas conexões podem estar envolvidos em investigações legais.
Ou seja, ao permitir que pessoas anônimas usem seu computador como um nó de saída, você assume o peso do risco se elas realizarem ações ilegais, abusivas ou relacionadas a ataques. É por isso que a Treand Micro não recomenda a participação em tais esquemas. Os provedores de “renda passiva” podem ter políticas éticas em vigor, mas não foi encontrada nenhuma evidência de que esses provedores policiem o tráfego sendo roteado para os nós de saída. Se o fizerem, o tráfego de injeção de SQL muito óbvio que deveria ter sido filtrado. Se esses provedores desejam melhorar suas políticas, os pesquisadores sugerem que sejam mais diretos e deixem claro aos usuários do software que eles não controlam o que seus clientes fazem (e, portanto, não têm visibilidade total sobre o tráfego para o nó de saída).
Em suma, os usuários em potencial desses aplicativos, especialmente com a implementação atual de serviços de proxyware, precisam estar cientes de que estão se expondo a níveis desconhecidos de risco em troca de uma quantidade incerta e provavelmente instável de “renda passiva” potencial. Para ler a pesquisa completa CLIQUE AQUI.