Одни не обеспечивает шифрование, другие пропускают трафик в обход VPN
Международная группа исследователей выявила серьезные проблемы безопасности в бесплатных VPN-приложениях для Android. Анализ 281 программы показал, что многие сервисы, обещающие защиту конфиденциальности, сами могут раскрывать данные пользователей, передавать информацию рекламным компаниям и даже позволяют перехватывать интернет-трафик.

В общей сложности приложения с обнаруженными уязвимостями были установлены более 2,4 млрд раз. Исследование провели специалисты Университета Мичигана, Университета Нью-Мексико и Индийского технологического института в Дели. Для анализа ученые использовали собственный инструмент MVPNalyzer, а тестирование проводилось на устройствах под управлением Android 14. Результаты работы представили на конференции по компьютерной безопасности NDSS.
Пять VPN-приложений загружали конфигурационные файлы без шифрования. Такой файл определяет параметры подключения и сервер, через который проходит пользовательский трафик. Это создает серьезный риск в публичных сетях Wi-Fi. Злоумышленник, находящийся в той же сети, может подменить конфигурацию и перенаправить весь интернет-трафик через собственный сервер. При этом само приложение продолжит показывать пользователю, что VPN работает нормально. Исследователи подтвердили такую атаку на практике. Из пяти разработчиков только два сообщили о планах исправить уязвимость.
Не менее серьезной проблемой стали утечки данных через сам VPN-туннель. Из 281 протестированного приложения 29 не обеспечивали полную защиту трафика. В частности:
- 24 приложения допускали утечку DNS-запросов, из-за чего можно было определить посещаемые пользователем сайты;
- 6 приложений пропускали часть или весь интернет-трафик в обход VPN;
- 4 приложения использовали туннель без полноценного шифрования.
- Исследователи также обнаружили, что многие бесплатные VPN активно собирают данные о пользователях, несмотря на заявления о конфиденциальности.
У 76 приложений был найден механизм передачи рекламного идентификатора устройства — уникального номера, который используется рекламными сетями для отслеживания активности пользователя в разных сервисах.
Еще 246 приложений подключались к рекламным и аналитическим платформам, отправляя информацию о смартфоне: модель устройства, версию Android, разрешение экрана и другие параметры. По словам ученых, даже такие на первый взгляд незначительные данные позволяют создать достаточно точный цифровой отпечаток устройства. В одном случае приложение передавало точные GPS-координаты пользователя.
Отдельное внимание специалисты уделили настройкам OpenVPN — одного из самых популярных протоколов VPN-подключения. Из 108 приложений, использующих OpenVPN, только одно соответствовало всем предъявленным требованиям безопасности.
Около 89% программ применяли только один способ аутентификации вместо более надежной комбинации сертификата и пароля. Кроме того, почти каждое пятое приложение использовало устаревшие алгоритмы шифрования, включая Blowfish и Triple DES, которые сегодня считаются недостаточно защищенными.
Авторы исследования отмечают, что проблема усугубляется отсутствием регулярных обновлений многих бесплатных VPN-сервисов. При этом автоматические проверки Google Play не всегда способны выявлять подобные уязвимости, поэтому отметка Verified сама по себе не гарантирует высокий уровень безопасности.
По мнению исследователей, пользователям стоит осторожнее относиться к бесплатным VPN с агрессивной рекламой и внимательно изучать политику конфиденциальности сервисов. Более надежным вариантом остаются решения, которые регулярно проходят независимые аудиты безопасности и могут подтвердить свои заявления о защите данных.
Главный вывод исследования: VPN не является автоматической гарантией приватности. Некачественное приложение может не только не защищать пользователя, но и стать дополнительным источником утечек.