Нове рецензоване дослідження стверджує, що 18 із 100 найпопулярніших VPN-додатків у Google Play насправді належать до трьох великих «сімей», попри заяви про незалежність провайдерів. Хоча серед них немає жодного зі списку «найкращих VPN», аналізовані сервіси доволі популярні – загалом понад 700 мільйонів завантажень лише на Android.
Робота опублікована в журналі Privacy Enhancing Technologies Symposium (PETS). Дослідники виявили не лише приховані зв’язки між сервісами, а й серйозні вразливості у їхній спільній інфраструктурі. Такі відомі сервіси, як Turbo VPN, VPN Proxy Master та X-VPN, виявилися уразливими до атак, що дозволяють розкривати історію перегляду користувачів і навіть підмінювати передані дані.
Дослідження має назву «Hidden Links: Analyzing Secret Families of VPN apps» і було натхнене розслідуванням VPN Pro, яке показало, що деякі компанії продають кілька різних VPN-додатків, не розкриваючи, що вони належать одним і тим самим власникам. Метою нового дослідження стало систематично зафіксувати ці приховані зв’язки.
Вихідною точкою став список найзавантажуваніших VPN-додатків на Android. Автори зібрали дані з бізнес-документації, сайтів і вихідного коду застосунків, шукаючи збіги. Завдяки схожим фрагментам коду вдалося розділити 18 додатків на три групи.
Сім’я 1: Turbo VPN, Turbo VPN Lite, VPN Monster, VPN Proxy Master, VPN Proxy Master Lite, Snap VPN, Robot VPN і SuperNet VPN. Вони пов’язані з трьома компаніями — Innovative Connecting, Lemon Clove і Autumn Breeze, які своєю чергою мають зв’язок із Qihoo 360 (материкова Китайська компанія, яку Пентагон США відніс до категорії «китайських військових компаній»).
Сім’я 2: Global VPN, XY VPN, Super Z VPN, Touch VPN, VPN ProMaster, 3X VPN, VPN Inf і Melon VPN. Вісім сервісів від п’яти різних провайдерів, але всі вони використовують однакові IP-адреси від одного хостинг-постачальника.
Сім’я 3: X-VPN і Fast Potato VPN. Формально належать різним компаніям, проте дослідники знайшли схожий код та однаковий власний VPN-протокол.
Для користувачів висновки тривожні з двох причин:
- Брехня і непрозорість: компанії, яким довіряють приватні дані, не розкривають власників і можливих партнерів. Це саме по собі руйнує довіру, навіть якби додатки були бездоганні.
- Вразливості у безпеці: усі 18 додатків у трьох «сім’ях» використовують протокол Shadowsocks із жорстко прописаним паролем, що відкриває шлях як до атак на серверному боці (поширення шкідливого ПЗ), так і до прослуховування веб-активності з боку клієнта.
Зрештою, VPN, що приховує інформацію про власників, і VPN, який працює на небезпечній інфраструктурі, — це дві сторони однієї проблеми: такі додатки створені не для захисту користувачів. Оскільки всі 18 були представлені як незалежні продукти, стає очевидно, що магазини застосунків не є надійним бар’єром.
Дослідження «Hidden Links» лише підкреслює просте правило: ніколи не встановлювати безкоштовний VPN без ретельної перевірки та віддавати перевагу сервісам, де є платна підтримка, як-от Proton VPN.
