Redazione RHC : 14 Giugno 2025 16:46
“Se non paghi per il servizio, il prodotto sei tu. Vale per i social network, ma anche per le VPN gratuite: i tuoi dati, la tua privacy, sono spesso il vero prezzo da pagare.
I ricercatori del Tech Transparency Project hanno segnalato che almeno 17 app VPN gratuite con presunti legami con la Cina sono ancora disponibili nelle versioni statunitensi degli store di Apple e Google e le grandi aziende tecnologiche riescono a guadagnare da queste app nonostante i rischi per la privacy degli utenti.
La prima indagine di TTP è apparsa ad aprile, rivelando che i dati di milioni di utenti provenienti da oltre due dozzine di servizi VPN potrebbero essere stati trasferiti in Cina a loro insaputa. Cinque di queste app erano presumibilmente collegate a Qihoo 360, con sede a Shanghai, precedentemente sanzionata dagli Stati Uniti per i suoi possibili legami con l’esercito cinese.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Sei settimane dopo, un rapporto aggiornato di TTP mostra che la maggior parte di queste app è ancora disponibile nelle versioni statunitensi dell’App Store e di Google Play. I ricercatori hanno anche trovato segnali che Apple e Google potrebbero trarre profitto da questi servizi. Secondo i loro dati, più di venti delle prime 100 VPN gratuite nell’App Store statunitense hanno legami nascosti con la Cina.
Le app collegate a Qihoo 360 includono Turbo VPN, VPN Proxy Master, Thunder VPN, Snap VPN e Signal Secure VPN. Alcune di queste rimangono presenti sull’Apple Store nonostante la segnalazione iniziale. Altri servizi nell’elenco includono X-VPN, Ostrich VPN, VPNIFY, VPN Proxy OvpnSpider, WireVPN, Now VPN, Speedy Quark VPN, AppVPN, HulaVPN e Pearl VPN.
La situazione è simile sulla piattaforma Google Play. Le stesse quattro app di Qihoo 360 sono disponibili negli Stati Uniti, insieme ad altri sette servizi VPN di origine cinese. I nuovi audit TTP hanno anche rilevato che molte di queste app offrono acquisti in-app, il che significa che Apple e Google potrebbero ricevere una percentuale sui pagamenti degli utenti per abbonamenti e funzionalità aggiuntive.
Inoltre, alcune applicazioni contengono pubblicità, che diventa anche una ulteriore fonte di guadagno. A titolo di esempio, i ricercatori hanno citato uno screenshot della pagina di Turbo VPN su Google Play dell’8 maggio 2025, in cui è visibile una nota relativa alla presenza di contenuti pubblicitari.
Apple ha affermato in un commento di avere requisiti rigorosi per gli sviluppatori VPN e di non consentire il trasferimento dei dati degli utenti a terze parti. Tuttavia, la geografia di origine dello sviluppatore non influisce sulla disponibilità delle applicazioni nello store. Al momento della pubblicazione, non c’era alcuna risposta da parte di Google.
I ricercatori hanno confermato che le stesse app VPN sono disponibili negli store del Regno Unito, il che significa che il problema potrebbe riguardare anche gli utenti di altri Paesi.
RedazioneMicrosoft ha reso nota una vulnerabilità critica in SharePoint Online (scoperta da RHC grazie al monitoraggio costante delle CVE critiche presente sul nostro portale), identificata come CVE-2025-5924...
Il Segretario Generale del Garante per la protezione dei dati personali, Angelo Fanizza, ha rassegnato le proprie dimissioni a seguito di una riunione straordinaria tenuta questa mattina nella sala Ro...
Un impiegato si è dichiarato colpevole di aver hackerato la rete del suo ex datore di lavoro e di aver causato danni per quasi 1 milione di dollari dopo essere stato licenziato. Secondo l’accusa, i...
Una vulnerabilità critica, CVE-2025-9501, è stata scoperta nel popolare plugin WordPress W3 Total Cache Questa vulnerabilità consente l’esecuzione di comandi PHP arbitrari sul server senza autent...
Il Consiglio Supremo di Difesa, si è riunito recentemente al Quirinale sotto la guida del Presidente Sergio Mattarella, ha posto al centro della discussione l’evoluzione delle minacce ibride e digi...
