У популярних безкоштовних VPN для Android виявили небезпечні вразливості: під загрозою можуть бути мільярди користувачів
У дослідженні проаналізували 281 VPN-додаток, які загалом було завантажено понад 2,4 млрд разів. Роботу виконали науковці з Університету Мічигану, Університету Нью-Мексико та Індійського технологічного інституту в Делі. Для перевірки вони використали власний інструмент MVPNalyzer, а тестування проводили на пристроях із Android 14. Результати дослідження представили на конференції з комп'ютерної безпеки NDSS.
Деякі VPN дозволяють перехоплювати інтернет-трафік
Однією з найнебезпечніших знахідок стала відсутність шифрування під час завантаження конфігураційних файлів у п'яти VPN-додатках. Саме ці файли визначають параметри VPN-з'єднання та сервер, через який проходить увесь інтернет-трафік користувача.
Якщо людина підключається до публічної мережі Wi-Fi, зловмисник може підмінити такий файл і перенаправити весь трафік через власний сервер. При цьому VPN працюватиме у звичайному режимі й не повідомить користувача про компрометацію з'єднання. Дослідники успішно відтворили таку атаку на практиці. Після повідомлення розробників лише дві компанії заявили, що планують усунути проблему.
Витоки даних виявилися масовим явищем
Перевірка також показала, що далеко не всі VPN-сервіси забезпечують повноцінний захист інтернет-з'єднання. Із 281 протестованого додатка одразу 29 мали критичні недоліки.
Найпоширенішими проблемами стали:
- 24 додатки допускали витік DNS-запитів, що давало змогу визначити, які сайти відвідує користувач;
- 6 сервісів пропускали частину або весь інтернет-трафік в обхід VPN;
- 4 додатки використовували VPN-тунель без належного шифрування.
Не менш тривожною виявилася ситуація зі збором користувацьких даних. Попри заяви про захист конфіденційності, багато безкоштовних VPN активно передають інформацію стороннім компаніям.

Зокрема, у 76 додатках фахівці виявили передачу рекламного ідентифікатора пристрою — унікального коду, який дає змогу рекламним мережам відстежувати активність користувача в різних сервісах.
Крім того, 246 додатків взаємодіяли з рекламними та аналітичними платформами, надсилаючи інформацію про смартфон, зокрема модель пристрою, версію Android, роздільну здатність екрана та інші технічні характеристики. За словами авторів дослідження, навіть такого набору даних достатньо для створення досить точного цифрового відбитка пристрою. В одному з випадків додаток також передавав точні GPS-координати власника смартфона.
Навіть OpenVPN нерідко використовують із небезпечними налаштуваннями
Окремо дослідники проаналізували додатки, що використовують популярний протокол OpenVPN. Із 108 протестованих програм лише одна повністю відповідала сучасним вимогам безпеки.
Фахівці встановили, що близько 89% таких додатків застосовують лише один метод автентифікації замість більш захищеної комбінації сертифіката та пароля. Крім того, майже кожен п'ятий сервіс досі використовує застарілі алгоритми шифрування, серед яких Blowfish і Triple DES, що вже не відповідають сучасним вимогам захисту інформації.
На думку авторів дослідження, ситуацію погіршує те, що багато безкоштовних VPN-додатків рідко отримують оновлення. Водночас автоматичні перевірки Google Play не завжди здатні виявити подібні проблеми, тому наявність позначки Verified сама по собі не гарантує високого рівня безпеки.
Експерти рекомендують з обережністю користуватися безкоштовними VPN-сервісами з нав'язливою рекламою, уважно ознайомлюватися з їхньою політикою конфіденційності та, за можливості, обирати рішення, які регулярно проходять незалежні аудити безпеки й можуть документально підтвердити належний захист користувацьких даних.
Джерело: notebookcheck
Інтернет
Розробники браузера DuckDuckGo додали нову функцію, яка дає змогу приховувати більшість рекламних вставок під час перегляду відео на YouTube. Оновлення вже поширюється серед користувачів iPhone, а також комп'ютерів із Windows і macOS. Власники Android-смартфонів отримають цю можливість найближчим часом.
