Анализ безопасности 100 бесплатных VPN-приложений для платформы Android
Издание Top10VPN, занимающееся рецензированием и проверкой VPN-сервисов, провело тестирование 100 самых популярных бесплатных VPN-приложений для платформы Android, суммарно насчитывающих более 2.5 миллиарда установок (для проверки были взяты 100 бесплатных VPN-приложений, для которых в каталоге Google Play зафиксировано наибольшее число загрузок). Основные выводы:
88 из протестированных программ имеют те или иные проблемы, приводящие к утечке информации. В 83 приложениях утечки происходили из-за обращения к сторонним DNS-серверам (не серверам VPN-провайдера), например в 40 случаях использовался DNS Google, а в 14 — Cloudflare. В 79 приложениях не была исключена возможность отправки трафика в обход VPN. В 17 приложениях выявлено сразу несколько типов утечек (раскрытие сайтам исходных IPv4 и IPv6 пользователя, утечки через DNS и WebRTC).
В 11 приложениях выявлено использование устаревших генераторов псевдослучайных чисел. В одном из приложений вообще не использовалось шифрование трафика. В 35 приложениях использовались неактуальные криптоалгоритмы (только в 20 программах применялись надёжные методы хэширования). В 23 приложениях на стадии создании VPN-туннеля для обращения к внешнему серверу допускалось использование старых версий TLS (старее TLSv3), а в 6 приложениях использовали SSLv2.
В 69 программах запрашивались избыточные полномочия, например, 20 приложений требовали доступа к данным о местоположении (ACCESS_*_LOCATION), 46 — к списку установленных программ (QUERY_ALL_PACKAGES), 9 — доступ к состоянию телефона (READ_PHONE_STATE, среди прочего позволяет узнать IMEI и IMSI), 82 — запрашивали уникальные идентификаторы для идентификации в рекламных сетях (ACCESS_ADVERTISEMENTS_ID), 10 — пытались получить доступ к камере.
В 53 приложениях выявлено использование сторонних проприетарных функций, например, 13 программ использовало код для отслеживания местоположения, 31 — для получения идентификаторов для рекламных сетей, 22 — для проверки других установленных приложений. 80 программ использовали сторонние библиотеки, среди которых 15 использовали библиотеки компаний Bytedance (TikTok), а 11 — библиотеки Yandex.
84 приложения включали компоненты SDK от маркетинговых платформ или социальных сетей, при этом 16 приложений включало 10 и более подобных компонентов.
В 32 приложениях выявлено обращение к аппаратным возможностям и датчикам, которые могут привести к нарушению конфиденциальности. Например, 15 приложений обращаются к камере, 7 — к микрофону, а 14 к механизмам определения местоположения, таким как GPS, 14 к датчикам (гироскоп, датчик приближения и т.п.).
71 приложение отправляло персональные данные в сторонние сервисы, такие как Facebook (47), Yandex (13) и VK (11). 37 программ раскрывали сторонним сервисам идентификаторы устройств, 23 — IP-адреса, 61 — уникальные идентификаторы для отслеживания. 19 приложений отправляли телеметрию с информацией об устройстве и системе на серверы VPN-провайдера, а 56 — в сторонние сервисы, такие как Google (39), Facebook (17) и Yandex (9).
В 19 приложениях при проверке в сервисе VirusTotal, использующем более 70 антивирусов, было определено вредоносное ПО. В 18 приложениях выявлено подключение к доменам, а в 13 к IP-адресам, занесённым в чёрные списки вредоносных хостов и адресов.
В 93 приложениях выявлено расхождение заявленных меток соблюдения конфиденциальности с фактическим состоянием. 75 приложений неверно информировали о методах сбора данных о пользователе, 64 — об отправке данных сторонним сервисам, 32 — об используемых методах обеспечения безопасности. Из 65 приложений с меткой «No Data Sharing» только 20 не допускали отправку данных сторонним сервисам, а из 32 приложений с меткой «No Data Collection» лишь два соответствовали связанным с ней требованиям.
Источник: http://www.opennet.ru/opennews/art.shtml? num=61352
© OpenNet