Исследователи из Университета Мичигана, Университета Нью-Мексико и Индийского технологического института в Дели проанализировали 281 бесплатное VPN-приложение для Android с помощью собственного инструмента MVPNalyzer. Тестирование проводилось на устройствах под управлением Android 14, а результаты были представлены на профильной конференции NDSS по компьютерной безопасности. Суммарно программы с обнаруженными уязвимостями установлены более 2,4 млрд раз.

Одна из критичных находок коснулась пяти приложений, которые загружали конфигурационные файлы без использования шифрования. Такой файл определяет параметры подключения и целевой сервер, а его отсутствие защиты в публичных Wi-Fi-сетях открывает возможность MITM-атаки: злоумышленник может подменить конфигурацию и направить весь трафик через собственный сервер, при этом на экране устройства VPN будет отображаться как активный. Исследователи подтвердили реализуемость атаки на практике. Лишь два из пяти разработчиков заявили о планах исправить уязвимость.

Значительная часть протестированных программ допустила утечку данных непосредственно через сам VPN-туннель. 29 приложений не смогли обеспечить полную защиту трафика: в 24 случаях происходила утечка DNS-запросов, позволяющая определить посещаемые сайты; 6 приложений пропускали фрагменты или весь интернет-трафик в обход VPN; еще 4 использовали туннель без полноценного шифрования.

Многие бесплатные сервисы активно собирали пользовательские данные вопреки заявленным политикам конфиденциальности. Механизм передачи рекламного идентификатора устройства был найден у 76 приложений, а 246 программ подключались к аналитическим и рекламным платформам, отправляя детальную информацию о смартфоне — модель, версию Android, разрешение экрана и другие параметры. По словам ученых, даже такие косвенные сведения позволяют сформировать достаточно точный цифровой отпечаток устройства. В отдельном эпизоде приложение передавало точные GPS-координаты пользователя.

Анализ реализации протокола OpenVPN показал, что из 108 использующих его программ только одна отвечала всем предъявленным требованиям безопасности. Около 89% таких приложений применяли лишь один фактор аутентификации вместо комбинации из сертификата и пароля. Почти каждое пятое приложение продолжало использовать устаревшие алгоритмы шифрования, включая Blowfish и Triple DES, которые сегодня считаются криптографические слабыми.

Проблему усугубляет отсутствие регулярных обновлений во многих бесплатных VPN-сервисах. При этом автоматизированные проверки Google Play не всегда способны обнаруживать подобные недостатки, поэтому наличие отметки Verified само по себе не гарантирует высокий уровень защищённости. Авторы работы рекомендуют с осторожностью подходить к бесплатным VPN с агрессивной рекламой и внимательно изучать политику конфиденциальности. Более надёжной практикой является выбор решений, регулярно проходящих независимые аудиты безопасности. Итоговый вывод исследования состоит в том, что VPN не служит автоматической гарантией приватности — некачественное приложение может не только не защищать, но и создавать дополнительный канал утечки данных.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *