فیلترشکن TLS Tunnel، قابلیت‌های زیاد اما مشکوک و بی‌نام و نشان!

ارزیابی پس‌کوچه

• سند حریم خصوصی: دارد

• محل فعالیت: مشخص نیست

• کد منبع: باز نیست

• وب‌سایت رسمی: ندارد

• آدرس ایمیل: tlsvpndev@gmail.com

• آخرین به‌روزرسانی: ۲۵ ژانویه ۲۰۲۳

سطح دسترسی

• مشاهده وضعیت و شناسه گوشی

• امکان تغییر یا حذف محتوای فضای مشترک حافظه

• مشاهده اتصالات وای‌فای

• اجرا هنگام راه اندازی دستگاه

• دسترسی کامل به شبکه و امکان تغییر اتصالات شبکه

• کنترل وضعیت لرزش

• جلوگیری از حالت استراحت دستگاه

فیلترشکن TLS Tunnel با بیش از ۱۰ میلیون بار دانلود از گوگل‌پلی با استقبال کاربران مواجه شده است. در این سرویس در کنار قابلیت‌های کارآمدی که ارایه می‌کند، ابهاماتی هم مشاهده می‌شود. در نسخه رایگان این فیلترشکن برای اتصال به سرورها باید ابتدا تبلیغ مشاهده کرد و بعد از نمایش تبلیغ مدت زمان قابل استفاده نمایش داده می‌شود. علاوه بر سرورهای عمومی، امکان اضافه کردن سرور شخصی یا بارگذاری کانفیگ در این فیلترشکن فراهم شده است.

سازندگان TLS Tunnel می‌گویند از یک پروتکل اختصاصی استفاده می‌کنند که آن را TLSVPN نام‌گذاری کرده‌اند. این پروتکل که از اتصالات، محافظت می‌کند، شبیه همان چیزی است که در سرویس‌های HTTPS استفاده می‌شود، یعنی با یک گواهی selfsigned تایید شده در زمان اتصال از رهگیری جلوگیری می‌کند. سرورهای عمومی از هر پروتکل IPv4 امکان عبور دارند ولی اتصالات SSH سرورهای خصوصی فقط اجازه عبور از TCP را می‌دهد.

ذکر این نکته ضروری است که وقتی صحبت از پروتکل‌های اختصاصی ارائه شده توسط سازندگان فیلترشکن‌ها می‌شود، بایستی اهمیت شفافیت و حفظ امنیت کاربران در این زمینه در نظر گرفته شود. چنین پروتکل‌هایی باید در ابتدا توسط نهادهای مستقل ممیزی امنیتی شوند. این ممیزی‌ها با بررسی دقیق پروتکل برای یافتن آسیب‌پذیری‌های احتمالی، امنیت وی‌پی‌ان مورد نظر را تایید یا رد می‌کنند. همچنین انتشار عمومی کد منبع پروتکل و باز بودن آن به کارشناسان امنیت دیجیتال و کاربران اجازه می‌دهد تا کد را بررسی کنند و یک تعامل دو جانبه برای تضمین‌های بیشتر امنیتی و قابل اعتماد بودن یک سرویس به وجود آید.

بررسی‌ها نشان می‌دهد کد منبع این پروتکل اختصاصی باز نیست و توسط نهادهای مستقل ممیزی امنیتی نشده است. به همین دلیل گزینه‌ای ایده‌آل و شفاف به لحاظ امنیت و حفظ حریم خصوصی نیست. توجه به این نکته مهم است که اگر قصد استفاده از ابزارهایی دارید که از پروتکل‌های جدید بهره می‌برند، بررسی کنید که آیا پروتکل موردنظر به‌طور مستقل ممیزی شده و کد منبع آن باز است یا خیر؟

در سند حریم خصوصی این فیلترشکن عنوان شده که اطلاعات شخصی جمع آوری شده از کاربر فقط به صورت محلی در دستگاه خود کاربر ذخیره می‌شود و به سرورهای دیگر فرستاده نمیشود. همچنین در سند حریم خصوصی این فیلترشکن ذکر شده که «اگرچه ما سعی می کنیم اطمینان حاصل کنیم که اپ همیشه به روز و صحیح است، اما برای ارائه به اشخاص ثالث متکی هستیم تا بتوانیم سرویس را در اختیار شما قرار دهیم. TLSVPN هیچ مسئولیتی در قبال هرگونه ضرر، مستقیم یا غیرمستقیم، که در نتیجه تکیه کامل به این عملکرد برنامه تجربه می کنید، نمی پذیرد.» اما ابهاماتی که درباره این فیلترشکن وجود دارد عبارتند از: نبود اطلاعات درباره سازندگان آن و محل فعالیت آنها، از دسترس خارج شدن وب‌سایت فیلترشکن و مجوزهایی که هیچ توضیحی درباره آنها داده نشده است.

نتیجه‌گیری:

این فیلترشکن برای فعالیت درخواست دسترسی به هویت و وضعیت دستگاه را دارد. علاوه بر آن درخواست دسترسی به محتوای حافظه مجوز دیگری است که این فیلترشکن درخواست می‌کند. اگرچه این سرویس برای وارد کردن سرور از خارج و تزریق پیکربندی به این مجوز نیاز دارد، اما به دلیل گمنام بودن سازندگان، نداشتن ممیزی امنیتی توسط نهادهای مستقل و دسترسی‌های غیرمعمول دیگر نمی‌توان اطمینان یافت که این دسترسی فقط برای موارد مورد نیاز کاربر استفاده می‌شود.