Новое рецензируемое исследование утверждает, что 18 из 100 самых популярных VPN-приложений в Google Play на самом деле принадлежат к трем большим «семьям», несмотря на заявления о независимости провайдеров. Хотя среди них нет ни одного из списка «лучших VPN», анализируемые сервисы довольно популярны – всего более 700 миллионов загрузок только на Android.
Работа опубликована в журнале Privacy Enhancing Technologies Symposium (PETS). Исследователи обнаружили не только скрытые связи между сервисами, но и серьезные уязвимости в их общей инфраструктуре. Такие известные сервисы, как Turbo VPN, VPN Proxy Master и X-VPN, оказались уязвимыми к атакам, позволяющим раскрывать историю просмотра пользователей и даже подменять переданные данные.
Исследование озаглавлено «Hidden Links: Analyzing Secret Families of VPN apps» и было вдохновлено расследованием VPN Pro, которое показало, что некоторые компании продают несколько различных приложений VPN, не раскрывая, что они принадлежат одним и тем же владельцам. Цель нового исследования состояла в том, чтобы систематически фиксировать эти скрытые связи.
Отправной точкой стал список самых загружаемых VPN-приложений на Android. Авторы собрали данные из бизнес-документации, сайтов и исходного кода приложений, ища совпадения. Благодаря похожим фрагментам кода удалось разделить 18 приложений на три группы.
Сім’я 1: Turbo VPN, Turbo VPN Lite, VPN Monster, VPN Proxy Master, VPN Proxy Master Lite, Snap VPN, Robot VPN і SuperNet VPN. Они связаны с тремя компаниями — Innovative Connecting, Lemon Clove и Autumn Breeze, которые в свою очередь имеют связь с Qihoo 360 (материковая китайская компания, которую Пентагон США отнес к категории «китайских военных компаний»).
Сім’я 2: Global VPN, XY VPN, Super Z VPN, Touch VPN, VPN ProMaster, 3X VPN, VPN Inf і Melon VPN. Восемь сервисов от пяти разных провайдеров, но все они используют одни и те же IP-адреса от одного и того же хостинг-провайдера.
Семья 3: x-VPN и Fast Potato VPN. Формально принадлежат разным компаниям, однако исследователи нашли похожий код и одинаковый собственный VPN-протокол.
Для пользователей результаты тревожны по двум причинам:
- Ложь и непрозрачность: компании, которым доверяют частные данные, не раскрывают владельцев и возможных партнеров. Это само по себе разрушает доверие, даже если приложения безупречны.
- Уязвимости безопасности: все 18 приложений в трех «семьях» используют протокол Shadowsocks с жестко прописанным паролем, что открывает путь как к атакам на серверной стороне (распространение вредоносного ПО), так и к прослушиванию веб-активности со стороны клиента.
В конце концов, VPN, скрывающий информацию о владельцах, и VPN, работающий на опасной инфраструктуре, — это две стороны одной проблемы: такие приложения созданы не для защиты пользователей. Поскольку все 18 были представлены как независимые продукты, становится очевидно, что магазины приложений не являются надежным барьером.
Исследование Hidden Links только подчеркивает простое правило: никогда не устанавливать бесплатный VPN без тщательной проверки и отдавать предпочтение сервисам с платной поддержкой, таким как Proton VPN.
