Бесплатные VPN для Android оказались небезопасны: 2,4 млрд установок под угрозой

Бесплатные VPN для Android оказались небезопасны: 2,4 млрд установок под угрозой

Международная группа учёных из Университета Мичигана, Университета Нью-Мексико и Индийского технологического института в Дели проанализировала 281 бесплатное VPN-приложение для Android. Результаты оказались тревожными: многие сервисы, обещающие защиту приватности, сами создают угрозы для пользователей.

С помощью собственного инструмента MVPNalyzer исследователи выявили, что пять приложений загружают конфигурационные файлы без шифрования. В публичных сетях Wi-Fi злоумышленник может перехватить такой файл и перенаправить трафик на свой сервер, оставаясь незамеченным для приложения. Из пяти разработчиков только два пообещали исправить уязвимость.

Из 281 приложения 29 не обеспечивали полную защиту трафика. 24 пропускали DNS-запросы, позволяя определить посещаемые сайты. Шесть приложений частично или полностью пускали трафик в обход VPN, а четыре использовали туннель без шифрования.

У 76 приложений обнаружили передачу рекламного идентификатора устройства — уникального номера, который используется для отслеживания пользователей. 246 программ подключались к рекламным и аналитическим платформам, сообщая модель смартфона, версию Android и другие параметры. Один сервис передавал точные GPS-координаты.

Особое внимание уделили приложениям на основе OpenVPN: из 108 только одно соответствовало строгим требованиям безопасности. Около 89% использовали лишь один способ аутентификации, а каждое пятое — устаревшие алгоритмы шифрования (Blowfish, Triple DES).

Авторы исследования отмечают, что проблема усугубляется нерегулярными обновлениями и недостатком проверок со стороны Google Play. Они советуют пользователям внимательнее выбирать бесплатные VPN, отдавая предпочтение сервисам с независимыми аудитами безопасности.

Главный вывод: установка VPN не гарантирует приватность. Некачественное приложение может не только не защитить, но и стать источником утечки данных.