Google a confirmé que SuperVPN, qui compte plus de 100 millions de téléchargements, souffre d’une vulnérabilité qui ouvre la porte à une attaque de type MITM. Le 7 avril, il a enfin été supprimé du Play Store.

SuperVPN Free VPN Client est une application VPN gratuite pour Android au succès incroyable. Elle compte plus de 100 millions d’installations sur le Play Store, alors qu’elle n’en comptait que 10000 il y a près de 4 ans.

Malheureusement, c’est également une application VPN gratuite pour Android incroyablement dangereuse. Notre recherche a démontré qu’elle souffre de vulnérabilités critiques qui permettent une attaque de type Man-In-The-Middle (MITM) qui autorisera les pirates à facilement intercepter les communications entre l’utilisateur et le fournisseur VPN, et même à rediriger l’utilisateur vers un serveur appartenant aux pirates informatiques plutôt que vers les véritables serveurs du fournisseur VPN.

Google nous a récemment confirmé que cette vulnérabilité existe toujours. Nous avons partagé notre découverte via le programme Google Play Security Reward Program (GPSRP) parce que nous n’avons pas pu contacter les développeurs de SuperVPN, SuperSoftTech. Le GPSPR permet aux chercheurs en cybersécurité d’exposer les vulnérabilités des applications comptant plus de 100 millions d’installations.

Le 19 mars, les équipes de Google nous ont confirmé que la vulnérabilité était toujours présente dans la dernière version de SuperVPN :

message sur la vulnerabilite

Nous avons collaboré avec Google afin de contacter SuperSoftTech pour qu’ils puissent s’occuper du problème et apporter le patch nécessaire. Malheureusement, cela s’est avéré impossible, et le 7 avril, Google, a retiré l’application SuperVPN du Play Store.

SuperVPN a été supprimé de Google Play Store

Néanmoins, les utilisateurs qui ont SupervPN installé sur leur téléphone sont toujours exposés et devraient supprimer l’application immédiatement.

La vulnérabilité de SuperVPN qui affecte 100 millions d’utilisateurs

Lorsque vous lancez une recherche pour le mot clé “VPN” sur le Play Store, vous trouverez SuperVPN dans le top 5 des résultats. Selon Google Play, l’application a été téléchargée au moins 100 millions de fois. En janvier 2019, elle ne comptait que 50 millions d’installations.

À titre de comparaison, SuperVPN a, à l’heure actuelle, à peu près le même nombre d’installations que Tinder ou AliExpress. Comptez le nombre de gens qui utilisent Tinder autour de vous, il y en a au moins autant qui utilisent SuperVPN sur leur téléphone.

Tinder nombre d'installations 100M+

SuperVPN nombre d'installations 100M+

Lorsque nous avons analysé l’application, nous avons découvert que SuperVPN se connecte à plusieurs hôtes. Sur l’un de ces hôtes, nous avons découvert qu’un paquet (payload) était envoyé depuis l’application via une connexion HTTP non sécurisée. Ce payload contenait des données chiffrées et codées, et l’infrastructure a répondu en retour avec un payload similaire.

Après avoir creusé un peu plus, nous avons découvert que ce payload contenait la clé nécessaire au déchiffrement des informations. Après avoir déchiffré et décodé ces données, nous avons découvert qu’elles contenaient des informations sensibles au sujet du serveur, ses certificats, et les références que le serveur VPN utilise pour son authentification. Une fois que nous avons récupéré ces informations, nous avons remplacé les données du véritable serveur SuperVPN avec les données de notre propre serveur.

Résumé de l’analyse de SuperVPN :

En testant SuperVPN, nous avons découvert ce qui suit :

  • Les connexions utilisant simplement le HTTP n’y sont pas interdites : le trafic HTTP n’est pas chiffré, de sorte que n’importe qui sera capable de lire vos communications. Envoyer des données sensibles par HTTP est hautement risqué, et devrait être interdit par le développeur de l’application.
  • Le payload est obfusqué (furtif) : c’est la bonne nouvelle – l’information qui est transférée entre l’application de l’utilisateur et l’infrastructure est chiffrée.
  • Les clés de chiffrement sont écrites en dur au sein de l’application : c’est la mauvaise nouvelle – l’information est peut-être chiffrée, mais les clés pour la déchiffrer se trouvent au sein de l’application.
  • Le payload inclut les références EAP : Les VPN utilisent le protocole EAP afin que les utilisateurs qui n’utilisent pas l’application ne soient pas capable de se connecter au même serveur VPN. Cependant, en envoyant les références EAP dans un payload non chiffré, ou un payload facilement déchiffrable, l’utilisation d’EAP devient obsolète.

Confusion sur le propriétaire et l’origine de SuperVPN

Chez VPNpro nous avons déjà croisé la route de SuperVPN et de son développeur SuperSoftTech lors de notre recherche sur les propriétaires cachés d’applications VPN populaires. Nous avons découvert que le véritable développeur de cette application utilise plusieurs techniques afin, apparemment, de cacher qui possède et développe réellement cette application.

Alors que SuperSoftTech déclare être basé à Singapour, il est en fait la propriété du développeur indépendant Jinrong Zheng, un citoyen chinois vraisemblablement basé à Beijing. Des versions plus anciennes de l’application indiquent qu’il est le développeur de l’application.

SuperVPN propriétaire

Lorsqu’on recherche l’adresse mail listée sur la fiche du Play Store de SuperVPN, une autre page localise l’application dans le district de Haidian, à Beijing.

SuperVPN emplacement

On découvre aussi que l’adresse mail est connectée à Shenyang Yiyuansu Network Technology, qui est le développeur de l’application listé pour la version de SuperVPN sur l’App Store d’Apple.

Confus ? Ça ne s’arrête pas là.

Une autre application sur le Play Store, LinkVPN Free VPN Proxy, est censée être développée par FuryWebTech, mais est en fait un autre des produits de Zheng. Cette fois, cependant, FuryWebTech affiche une adresse à Hong Kong.

Pour rendre les choses pire encore, SuperVPN a été pointé du doigt en 2016 dans une recherche australienne (pdf). Elle y était listée comme la troisième application VPN la plus remplie de malwares.

SuperVPN malware

À cette époque, l’appli ne comptait que 10000 installations. Cela signifie que, en moins de quatre ans, une application de toute évidence vulnérable a été autorisée à demeurer sur le Play Store et à mettre en danger 99990000 personnes en plus.

Les tactiques de SEO blackhat de SuperVPN

Vous vous demandez peut-être comment une application aussi vulnérable et qui provient d’un développeur douteux (possiblement) chinois peut amasser plus de 100 millions d’installations en un peu plus de 3 ans ? Lors d’une recherche précédente sur la manière dont les VPN gratuits se classent étonnamment bien sur le Play Store, nous avons trouvé la réponse.

Mais elle ne vous surprendra probablement déjà plus : beaucoup de tactiques louches. Et particulièrement des méthodes de SEO blackhat (ou peut-être plutôt ASO : App Store Optimization) afin de booster leur classement et d’obtenir plus d’installations.

Le répertoire des trucs et astuces utilisées par SuperVPN est en vérité assez simple :

  1. Utiliser une énorme quantité de faux avis utilisateurs : les applications du top 10 pour le mot clé “vpn” reçoivent moins de mots par avis laissé, plus d’avis en double, et plus d’avis laissés par des utilisateurs anonymes. Par exemple, SuperVPN avait 10000 avis de 1 à 4 mots, alors que les leaders du marché comme IPVanish, avaient moins de 100 avis de 1 à 4 mots.
  2. Générer des liens blackhat afin de booster son profil de backlinks, quel que soit la pertinence du sujet. Notre analyse a montré que 36 des 100 backlinks testés vers la page de SuperVPN sur le Play Store provenaient de pages qui n’avaient rien à voir avec les VPN, la technologie, la confidentialité ou la sécurité.

Il apparaît que ces techniques blackhat simples ont suffit à propulser SuperVPN au sommet des classements de Google Play.

Conclusion

SuperVPN a utilisé un large éventail de techniques douteuses pour aider son bon classement sur Google Play, ainsi que pour cacher l’identité de celui ou celle qui est le véritable propriétaire de l’application, d’où elle provient et quelles sont les autres applications du même développeur qui pourraient souffrir des mêmes problèmes.

Mais pour finir, et plus important encore, il semble que durant tout le temps que cette application a passé sur le Play Store, elle présentait des vulnérabilités critiques, soit en étant un véhicule pour malwares en 2016, ou en autorisant les attaques MITM encore tout récemment.

La seule chose qui reste incertaine maintenant, est si ces vulnérabilités sont le fait d’une erreur, ou intentionnelles.

Quoiqu’il en soit, des millions d’utilisateurs possèdent une application dangereuse sur leur téléphone portable. Si vous êtes l’un d’eux, nous vous implorons de supprimer SuperVPN immédiatement.