Перейти к содержимому
IMOEX 2186.75 1.9%
·Технологии·12 июля 2026 г.

2,4 млрд установок — и большие проблемы с безопасностью: исследователи разоблачили бесплатные VPN

2,4 млрд установок — и большие проблемы с безопасностью: исследователи разоблачили бесплатные VPN

Одни не обеспечивает шифрование, другие пропускают трафик в обход VPN

Международная группа исследователей выявила серьезные проблемы безопасности в бесплатных VPN-приложениях для Android. Анализ 281 программы показал, что многие сервисы, обещающие защиту конфиденциальности, сами могут раскрывать данные пользователей, передавать информацию рекламным компаниям и даже позволяют перехватывать интернет-трафик.

Изображение сгенерировано QwenВ общей сложности приложения с обнаруженными уязвимостями были установлены более 2,4 млрд раз. Исследование провели специалисты Университета Мичигана, Университета Нью-Мексико и Индийского технологического института в Дели. Для анализа ученые использовали собственный инструмент MVPNalyzer, а тестирование проводилось на устройствах под управлением Android 14. Результаты работы представили на конференции по компьютерной безопасности NDSS.

Пять VPN-приложений загружали конфигурационные файлы без шифрования. Такой файл определяет параметры подключения и сервер, через который проходит пользовательский трафик. Это создает серьезный риск в публичных сетях Wi-Fi. Злоумышленник, находящийся в той же сети, может подменить конфигурацию и перенаправить весь интернет-трафик через собственный сервер. При этом само приложение продолжит показывать пользователю, что VPN работает нормально. Исследователи подтвердили такую атаку на практике. Из пяти разработчиков только два сообщили о планах исправить уязвимость.

Не менее серьезной проблемой стали утечки данных через сам VPN-туннель. Из 281 протестированного приложения 29 не обеспечивали полную защиту трафика. В частности:

24 приложения допускали утечку DNS-запросов, из-за чего можно было определить посещаемые пользователем сайты;

6 приложений пропускали часть или весь интернет-трафик в обход VPN;

4 приложения использовали туннель без полноценного шифрования.

Исследователи также обнаружили, что многие бесплатные VPN активно собирают данные о пользователях, несмотря на заявления о конфиденциальности.

У 76 приложений был найден механизм передачи рекламного идентификатора устройства — уникального номера, который используется рекламными сетями для отслеживания активности пользователя в разных сервисах.

Еще 246 приложений подключались к рекламным и аналитическим платформам, отправляя информацию о смартфоне: модель устройства, версию Android, разрешение экрана и другие параметры. По словам ученых, даже такие на первый взгляд незначительные данные позволяют создать достаточно точный цифровой отпечаток устройства. В одном случае приложение передавало точные GPS-координаты пользователя.

Отдельное внимание специалисты уделили настройкам OpenVPN — одного из самых популярных протоколов VPN-подключения. Из 108 приложений, использующих OpenVPN, только одно соответствовало всем предъявленным требованиям безопасности.

Около 89% программ применяли только один способ аутентификации вместо более надежной комбинации сертификата и пароля. Кроме того, почти каждое пятое приложение использовало устаревшие алгоритмы шифрования, включая Blowfish и Triple DES, которые сегодня считаются недостаточно защищенными.

Авторы исследования отмечают, что проблема усугубляется отсутствием регулярных обновлений многих бесплатных VPN-сервисов. При этом автоматические проверки Google Play не всегда способны выявлять подобные уязвимости, поэтому отметка Verified сама по себе не гарантирует высокий уровень безопасности.

По мнению исследователей, пользователям стоит осторожнее относиться к бесплатным VPN с агрессивной рекламой и внимательно изучать политику конфиденциальности сервисов. Более надежным вариантом остаются решения, которые регулярно проходят независимые аудиты безопасности и могут подтвердить свои заявления о защите данных.

Главный вывод исследования: VPN не является автоматической гарантией приватности. Некачественное приложение может не только не защищать пользователя, но и стать дополнительным источником утечек.

Это отрывок статьи. Полную версию читайте на сайте источника по ссылке ниже.

Источник: iXBT