Новости Используете бесплатный VPN на Android? Тогда у нас плохие новости: за вашу «безопасность» вы уже заплатили личной информацией

NewsMaker

I'm just a script
Премиум
28,210
46
8 Ноя 2022
Более 80% протестированных мобильных VPN продавали данные пользователей.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
vhffmk0341mdjov88xzkjeq1ezm6euwo.jpg

Бесплатные <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span> для Android снова попали в неприятную историю, и на этот раз речь не о мелких огрехах, а о провалах в самой основе сервиса. Исследователи проверили 281 популярное бесплатное приложение из Google Play и выяснили, что многие программы не защищают трафик, хотя именно ради защиты пользователи и ставят VPN.

Работу провели специалисты Мичиганского университета, Университета Нью-Мексико и Индийского технологического института в Дели. Команда представила систему MVPNalyzer и с ее помощью протестировала сотни Android-приложений. Результат получился тревожным. Приложения, в которых нашли хотя бы одну серьезную проблему, суммарно установили более 2,4 млрд раз.

Проверка показала, что 29 приложений пропускали пользовательский трафик мимо защищенного туннеля. В части случаев утекали DNS-запросы, по которым легко понять, какие сайты открывает владелец смартфона. Еще 61 приложение передавало часть данных в незашифрованном виде, поэтому любой наблюдатель в той же сети мог перехватить содержимое.

Самая опасная находка затронула пять приложений. Такие VPN загружали конфигурационный файл без шифрования. Через такой файл приложение узнает, к какому серверу нужно подключиться. Если злоумышленник перехватит трафик в публичной Wi‑Fi-сети и подменит файл, смартфон может незаметно подключиться к серверу под чужим контролем. Пользователь увидит обычное сообщение об успешном соединении, хотя весь трафик уже пойдет через атакующего.

Проблемы не ограничились утечками. Исследователи обнаружили, что 169 приложений никак не маскировали VPN-трафик, поэтому провайдер, администратор сети или государственная система фильтрации могли легко распознать и заблокировать соединение. Для сервисов, которые обещают обход блокировок и доступ к ограниченному контенту, такой провал выглядит особенно неприятно.

Отдельный удар пришелся по приватности. 76 приложений передавали рекламный идентификатор Android, который помогает отслеживать пользователя между разными программами. Более 80 процентов проверенных VPN, а именно 246 приложений, связывались с известными рекламными и трекинговыми серверами. Многие сервисы отправляли модель устройства, версию Android и параметры экрана, а одно приложение даже передавало точные GPS-координаты.

Команда также изучила 108 OpenVPN-конфигураций, встроенных в приложения. Полностью всем базовым рекомендациям соответствовало только одно приложение. Почти 89 процентов сервисов полагались лишь на один способ аутентификации, хотя безопаснее сочетать несколько методов. Примерно каждое пятое приложение использовало слабые или устаревшие алгоритмы шифрования, включая Blowfish и triple DES. В нескольких случаях разработчики вообще отключали шифрование внутри туннеля.

Авторы исследования считают, что проблема связана не только с небрежностью разработчиков, но и со слабым контролем со стороны магазина приложений. Многие программы занимают высокие места в поиске Google Play, а пометки вроде «проверено» создают у пользователей ложное чувство безопасности. Исследователи прямо пишут, что подобные метки больше похожи на маркетинг, чем на реальную гарантию защиты.

Вывод у работы получился неприятный, но полезный. Бесплатный VPN не стоит воспринимать как автоматическую защиту. Красивое описание в магазине приложений и обещание «без логов» еще ничего не доказывают. Исследователи советуют смотреть не на рекламные лозунги, а на репутацию разработчика и наличие независимого аудита безопасности. Судя по результатам проверки, именно такой подход сегодня выглядит самым разумным.
 
Источник новости
www.securitylab.ru

Похожие темы