Безплатните VPN услуги се присмиват на сигурността ви: тъмната страна на популярните услуги
Почти 90% от VPN приложенията заплашват поверителността на потребителите.
Според неотдавна оповестено изследване на Top10VPN съвсем всички известни безвъзмездни VPN приложения в магазина на Гугъл Play имат капацитета да застрашат персоналните ни данни. Почти 90% от тези приложения са склонни към приключване на данни, повече от две трети споделят персоналната информация на потребителите с трети страни, а една пета от тестваните приложения са маркирани като недоверчив злотворен програмен продукт от антивирусните скенери.
Това са единствено някои от тревожните констатации на отчета, в който са оценени изходният код и мрежовият трафик на 100-те най-популярни безвъзмездни VPN услуги за Android в магазина на Гугъл Play. Саймън Миглиано, началник на изследователския отдел на Top10VPN, е прекарал месеци в изследване и събиране на данни за пропуските в сигурността и отбраната на персоналните данни.
VPN услугите работят, като скриват IP адреса на потребителя и маскират неговата онлайн активност от външните лица (доставчици на интернет услуги, мрежи и други трети страни). VPN мрежите обезпечават предпазен тунел от устройството до техния сървър и по-късно до отворения интернет с криптиране от край до край. От решаващо значение е доставчикът на VPN услуги да е благонадежден, защото всичките данни на клиентите минават през неговите сървъри.
Най-надеждните платени VPN услуги употребяват усъвършенствани технологии за сигурност, като сървъри, работещи единствено с оперативна памет, и криптиране от боен клас. Те също по този начин постоянно ангажират самостоятелни одиторски компании, с цел да потвърдят, че данните и трафикът на потребителите не се записват. За страдание при безплатните приложения това се случва доста рядко.
Според Миглиано броят на потребителите на безвъзмездни VPN услуги се е нараснал фрапантно през последните няколко години: „ 100-те най-популярни безвъзмездни VPN услуги за Android са били конфигурирани към 260 милиона пъти през 2018 година Днес този брой надвишава 2,5 милиарда. “
Въпреки че към момента съществуват няколко надеждни безвъзмездни приложения, множеството други служат само като метод за генериране на рекламни доходи за разработчиците. Бизнес моделът на тези услуги ги принуждава да разчитат на средства от рекламодатели и други трети страни. Обикновено това става под формата на вграждане на разнообразни реклами и маркетингово наличие в приложенията, постоянно в ущърб на потребителите.
Обезпокоително е, че 71% от безплатните VPN услуги дават на рекламодателите достъп до персоналните данни на потребителите. Близо една трета от тях даже сами събират тези данни и ги продават за облага.
Очаква се известността на тези услуги да продължи да пораства през идващите години на фона на експоненциалния напредък на целия пазар. Тъй като броят на потребителите, които търсят безвъзмездна опция, се усилва, има потребност от надеждни логаритми. Това е изключително правилно за тези, които изпитват остра потребност заради зачестилите случаи на блокиране на интернет напоследък.
Въпреки че специалистите обичайно поучават да се употребяват потвърдени комерсиални VPN услуги с абонамент, в случай че по някаква причина е нужен некомерсиален вид, за предпочитане е да се избере „ безплатната “ версия на платено приложение (freemium). Надеждните снабдители на VPN услуги дават множеството от функционалностите на главния си заплатен артикул в такива версии, само че с някои ограничавания във връзка с броя на наличните сървъри и броя на обвързваните устройства.
Някои първокласни VPN услуги оферират и изцяло безвъзмездни изключителни абонаменти за избрани рискови лица: публицисти, неправителствени организации и политически деятели.
Ето по какъв начин наподобяват главните заключения от инспекцията на Top10VPN:
88 от тестваните приложения имат един или различен проблем, водещ до приключване на информация. В 83 приложения приключването на информация се дължи на достъп до DNS сървъри на трети страни (а не на сървъри на доставчиците на VPN услугите), да вземем за пример в 40 случая е употребен Гугъл DNS, а в 14 случая е употребен Cloudflare DNS. В 79 приложения не е изключена опцията за изпращане на трафик, заобикалящ VPN мрежата. В 17 приложения бяха открити няколко типа приключвания (разкриване на истинските IPv4 и IPv6 на потребителя пред уеб сайтове, приключване посредством DNS и WebRTC). В 11 приложения беше намерено потреблението на остарели генератори на псевдослучайни цифри. В едно приложение въобще не е употребявано криптиране на трафика. В 35 приложения са употребявани неуместни криптографски логаритми (само в 20 приложения са употребявани надеждни способи за хеширане). В 23 приложения на стадия на основаване на VPN тунел за достъп до външен сървър е било позволено да се употребяват остарели версии на TLS (TLSv1, TLSv2), а в 6 приложения е употребен SSLv2. В 69 приложения са били поискани несъразмерни позволения, да вземем за пример 20 приложения са поискали достъп до данните за местоположението (ACCESS_*_LOCATION), 46 – до листата с конфигурираните стратегии (QUERY_ALL_PACKAGES), 9 – достъп до положението на телефона (READ_PHONE_STATE, наред с други неща разрешава да се схванат IMEI и IMSI), 82 – поискали са неповторими идентификатори за идентификация в рекламните мрежи (ACCESS_ADVERTISEMENTS_ID), 10 – пробвали са се да получат достъп до камерата.
При 53 приложения е открито потребление на лични функционалности на трети страни, да вземем за пример 13 стратегии са употребявали код за следене на местоположението, 31 – за приемане на идентификатори за рекламните мрежи, 22 – за инспекция на други конфигурирани приложения. 80 стратегии са употребявали библиотеки на трети страни, измежду които 15 са употребявали библиотеки от Bytedance (TikTok), а 11 – библиотеки на Yandex. 84 приложения са включвали SDK съставни елементи от маркетингови платформи или обществени мрежи, като 16 приложения са включвали 10 или повече такива съставни елементи. Установено е, че 32 приложения употребяват хардуерни функционалности и датчици, които могат да доведат до нарушение на поверителността. Така да вземем за пример 15 приложения са имали достъп до камерата, 7 – до микрофона, а 14 – до механизмите за установяване на местоположението, като GPS, 14 – до датчиците (жироскоп, датчик за непосредственост и др.). 71 приложения изпращат персонални данни към услуги на трети страни, като да вземем за пример Фейсбук (47), Yandex (13) и VK (11). 37 приложения разкриват идентификационните номера на устройствата на услуги на трети страни, 23 разкриват IP адреси, а 61 разкриват неповторимите идентификатори за задачите на следенето. 19 приложения изпращат телеметрия с информация за устройството и системата към сървърите на доставчика на VPN, а 56 изпращат телеметрия към услуги на трети страни, като Гугъл (39), Фейсбук (17) и Yandex (9).
