После Whatsapp, Snapchat и Facebook, чаще всего люди ищут мобильные приложения для VPN. «VPN» – второй по популярности термин, не являющийся торговой маркой, после «игры», и в результатах поиска доминируют исключительно бесплатные приложения. Самые популярные из них собрали сотни миллионов установок по всему миру, однако, кажется, что тому, какие компании стоят за ними, уделяется слишком мало внимания, а магазины мобильных приложений слишком поверхностно их изучают.
Когда человек решает установить на своё устройство VPN какой-либо компании, он, по сути, решает доверять свои данные этой компании вместо своего провайдера проводного или беспроводного соединения. Провайдер VPN может изучать ваш трафик, изменять его, вести записи, и, если позволяют правила, отправлять его куда-то ещё. Учитывая потенциал возможного злоупотребления данными, критически важно, чтобы пользователь с умом выбирал себе VPN.
Мы изучили самые популярные приложения VPN в App Store и Google Play Store. Мы обнаружили, что лишь малая доля этих безумно популярных приложений делает хоть что-то, чтобы заслужить доверие людей, пытающихся защитить свою приватность, находясь в онлайне.
Исследование
Мы изучили 20 самых популярных бесплатных приложений, выпадающих в списке по запросу VPN в App и Play Store для Британии и США. В целом в месяц их скачивают по 80 млн раз у Google и по 4 млн раз у Apple. Полностью наша методология и список всех изученных VPN можно найти в подробном отчёте.
Мы обнаружили нечто противоположное высоким стандартам, поддержку которых в приложениях, распространяемых Google и Apple, и находящихся в такой чувствительной категории, мог бы ожидать пользователь. Большая часть приложений происходит от неизвестных и весьма засекреченных компаний, прилагающих все усилия к тому, чтобы скрыть информацию о себе от пользователей.
Эти VPN-приложения были скачаны десятки миллионов раз с крупнейших магазинов приложений, однако они практически не дают пользователю никакой информации о компаниях, стоящих за ними, и о том, что они делают с огромным потоком чувствительного трафика, проходящего через их сервера ежедневно.
Наше исследование обнаружило, что более половины наиболее популярных бесплатных VPN-приложений либо принадлежат китайцам, либо напрямую располагаются в Китае – стране, которая агрессивно подавляет у себя VPN-сервисы в последние годы и железной рукой сдерживает интернет в своих границах. Кроме того, мы обнаружили, что у большей части этих приложений не хватает формально прописанной защиты личной информации и отсутствует поддержка пользователей.
Принадлежность сервисов и их присутствие в вебе
59% изученных приложений либо принадлежат китайцам, либо напрямую располагаются в Китае, несмотря на то, что в этой стране строго запрещены VPN и практикуется слежка за интернет-трафиком. Это поднимает вопросы о том, почему этим компаниям – с крупными базами пользователей по всему миру – разрешают продолжать работать.
Китайские VPN скачивают пользователи из США, Британии, Латинской Америки, Ближнего Востока и Канады. Владельцы трёх из них TurboVPN, ProxyMaster и SnapVPN? оказались связанными друг с другом компаниями. В политике конфиденциальности они отмечают: «Наш бизнес может потребовать от нас передачу ваших личных данных в страны, расположенные за пределами Еврозоны (EEA), включая и такие страны, как Китайская народная республика или Сингапур».
Одно из предложений, VPN Patron, принадлежит гонконгской компании IST Media, рекламирующей себя в Китае, как компанию, занимающуюся мобильной рекламой и монетизирующей интернет-поведение пользователей.
Учитывая то, какие усилия были приложены этими компаниями к тому, чтобы скрыть информацию об их владельцах, часто довольно сложно раскопать, кто именно стоит за приложениями, тем более, обычному пользователю.
У 64% из этих провайдеров нет специального сайта или наличия в вебе, а более половины из перечисленных емейлов представляют собой личные учётные записи в доменах типа Gmail или Yahoo. Более 80% наших запросов на поддержку остались без ответа.
Несмотря на такую непрозрачность, эти компании смогли внушить доверие плохо информированным пользователям тем, что их приложения были одобрены администрацией магазинов Apple и Google.
Политики конфиденциальности, отслеживание, запись действий пользователей
Возможно, одной только популярности этих приложений может оказаться достаточно, чтобы убедить большинство пользователей в их надёжности, но тщательное их рассмотрение вскрывает серьёзные проблемы.
Добросовестные VPN-сервисы, будь они бесплатными или работающими по подписке, обычно имеют подробные политики конфиденциальности, описывающие схему их работы и обязывающие их не следить за пользователями и не записывать их трафик.
Однако у многих популярных VPN-приложений нет ничего даже близко напоминающего такие политики, а у многих вообще нет никаких политик. Это подчёркивает наличие неприятной неопределённости касаемо того, что происходит с огромными объёмами пользовательских данных, и заставляет беспокоиться о том, что миллионы пользователей по всему миру дают неизвестным и потенциально враждебным организациям доступ к своему трафику.
Мы обнаружили, что 86% этих приложений используют нестандартные политики конфиденциальности, где вопрос приватности пользователей тщательно обходится или вовсе не освещается. Некоторые из этих приложений получают полный доступ к интернет-трафику пользователей, позволяют себе отслеживать их и отправлять их данные третьим лицам из Китая. Среди собираемых данных о пользователе присутствует список посещённых веб-сайтов, IP-адрес (включая местоположение пользователя), время, длительность просмотра сайтов, идентификаторы устройств, емейл-адреса и прочее.
Среди распространённых проблем в политиках конфиденциальности встречается:
- Отслеживание действий пользователя.
- Отправка сведений о его поведении третьим лицам.
- Отсутствие важных деталей, касающихся политик отслеживания.
- Обобщённые тексты политик, не относящиеся к специфике VPN.
- Заявленная передача данных третьим лицам из Китая.
- Отсутствие политики.
Более половины (55%) политик выглядят работой любителей – например, они расположены на бесплатных сайтах Wordpress с рекламой или в виде текстовых файлов на анонимных веб-страницах – что заставляет ещё сильнее переживать по поводу законности работы этих компаний.
Что всё это значит?
С точки зрения потребителя, все приложения в официальном магазине отмечены владельцами магазинов Apple или Google, как безопасные и законные. Однако учитывая широту дезинформации и непрозрачности, связанных с этими списками, становится ясно, что в этой категории надзор остаётся минимальным.
Неподозревающие пользователи перенаправляют свой мобильный интернет-трафик через сервера, принадлежащие компаниям, большая часть которых не предоставляет никакой защиты от неправомерного использования данных. Это элементарная халатность со стороны крупнейших техногигантов, отсутствие контроля с их стороны, которое приводит к тому, что миллионы потребителей подвергаются оптовому сбору данных под видом онлайн-защиты.
Также обнаруженные сведения поднимают такие вопросы, как: почему Китай позволяет этим компаниям работать, нарушая его строгие законы, запрещающие использование VPN, и с кем компании делятся этими данными после их получения.
Кроме множества вопросов, возникших после обнаружения такого сильного китайского влияния в этой области, эти открытия требуют, чтобы Apple и Google пояснили потребителям, почему они одобряют приложения компаний, не имеющих веб-присутствия, предлагающих минимальную или обманчивую корпоративную информацию, и обладающих слабыми, а иногда и идущими в разрез с интересами пользователей политиками конфиденциальности.
Позволяя этим непрозрачным, непрофессиональным компаниям размещать потенциально опасные приложения в своих магазинах, Apple и Google демонстрируют неспособность проверить компании, использующие их платформы, и курировать рекламирующиеся там программы. Все демонстрации стремления к контролю над соблюдением приватности не имеют смысла, если за этой потенциально опасной категорией приложений осуществляется так мало надзора.
Комментарии (39)
jrthwk
05.02.2019 13:23+4Хорошая попытка, товарищ майор…
OnelaW
05.02.2019 16:06+2Ну почему сразу майор. Просто в мире происходит какой-то сюр. Доступ к сервисам предоставляет некая китайская компания которая обходит настройки великого китайского фаервола. В этом плане уже нет особой разницы какой шеврон на рукаве у майора. возможность обмена данными есть, а пользуются ли майоры такой возможностью или нет это уже другой вопрос.
Sabubu
05.02.2019 17:43Это как раз объяснимо. В Китае большой спрос на VPN -> есть компании, которые его дают (из Гонконга, например) -> эти компании пытаются расширить бизнес.
Это же может объяснить желание не афишировать себя. Но гарантий, что эти компании не дружат с китайскими спецслужбами, конечно, дать нельзя.
Am0ralist
05.02.2019 16:30+1В данном случае (так как это перевод), то это писал: и не товарищ, и уж точно не майор.
advan20092
05.02.2019 13:26Пользователь и в браузере может набрать адрес опасного или собирающего личные данные сайта. Так можно дойти до требования цензурировать ссылки, по которым пользователь может переходить.
Эти приложения ВПН, насколько мне известно, просто устанавливают профиль в систему. Само подключение выполняется через системные интерфейсы (по крайней мере в iOS). Точно также можно вручную настроить подключение без всякого приложения. При установке профиля, насколько я помню, система запрашивает разрешение и предупреждает что это может нести риски (опять же речь про iOS).Druu
05.02.2019 16:53-1Так можно дойти до требования цензурировать ссылки, по которым пользователь может переходить.
Так уже. Оттого и впн понадобились :)
geher
05.02.2019 19:04+1Эти приложения ВПН, насколько мне известно, просто устанавливают профиль в систему.
VPN — это не просто волшебная труба, которая ведет сразу к нужному вам ресурсу.
Он ведет на некий сервер, через который ваши данные и идут дальше по назначению и обратно к вам.
Соответственно, этот сервер имеет полный доступ ко всем передаваемым вами данным.
Даже если ваши данные зашифрованы, есть уязвимости, которые позволяют данные расшифровать, есть информация, от кого и куда идут данные, которая имеет значение сама по себе. А если данные открытые, то вообще читай — не хочу.
С большой вероятностью приложения ставят профиль соединения не через какой-то абстрактный сервер, а через сервер, принадлежащий фирме, продвигающей приложение, или тесно связанной с ней конторе.
Как-то так.
Плюс приложение может само по себе содержать в себе дополнительный функционал, позволяющий, например, отправлять в трубу серверу дополнительную информацию с устройства, например, ключи шифрования, буде локально к ним приложению получится поиметь доступ. Причем информация пойдет в шифрованной трубе, что сильно осложнит возможность заметить факт передачи.
Так что использование неизвестного приложения из странного источника дополнительно множит потенциальные риски использования VPN соединения через чужой сервер.
ProRunner
05.02.2019 20:20-1Даже если ваши данные зашифрованы, есть уязвимости, которые позволяют данные расшифровать
Ага-ага. И зачем гугл всех на https загоняет, не понятно. Всё равно расшифруют же.
этот сервер имеет полный доступ ко всем передаваемым вами данным
Мой провайдер имеет полный доступ к передаваемым данным. Вместе с СОРМом. Это, по-моему, гораздо больший риск, чем любой китайский впн.
Я не к тому, что любые китайские впн полностью безопасны. Везде есть преимущества и риски.geher
05.02.2019 22:12+1Ага-ага. И зачем гугл всех на https загоняет, не понятно. Всё равно расшифруют же.
Ох уж эта слепая вера в шифрование.
Во-первых, это лишь повышает вероятность, что посторонние не получат доступ к информации (а потому во многих случаях с шифрованием лучше, чем без него).
Во-вторых, самое крутое шифрование становится бесполезным, если доверять свой трафик кому попало, а тем более ставить левые приложения на свое устройство.
Мой провайдер имеет полный доступ к передаваемым данным. Вместе с СОРМом. Это, по-моему, гораздо больший риск, чем любой китайский впн.
Это повод поставить стремное приложение на свое устройство?
Gradarius
05.02.2019 13:36Это достаточно интересная, и актуальная, тема. Но разбор очень уж «рекламный», какие то проценты и предположения без фактов. Вы конкретно какие приложения проверяли? Что накапали? Где источники и доказательства? Или просто принять на веру? Хотя в целом все знают где бесплатный сыр.
SLY_G Автор
05.02.2019 15:59Вы разговариваете с переводом. Ссылка на полное исследование со всеми подробностями есть в тексте.
Konachan700
05.02.2019 14:25А в чем проблема просмотра третьей стороной мобильного трафика? Сейчас же всё идет через https, и ничего секретного с такого трафа не выловить.
Revertis
05.02.2019 14:48+1Банально, привязка ваших привычек просмотра сайтов, местоположения и всех айпишников к вашему имейлу.
Victor_koly
05.02.2019 15:40Аккаунт Гугла конечно сообщит правду про мои входы на него. А не что-то вроде такого:
Заголовок спойлераRevertis
05.02.2019 16:39+1А при чём тут активность, которую записывает гугл? Вы удивитесь, сколько приложений без предупреждения при первом запуске отсылают ваш имеил на свои сервера.
Таким же образом китайцы, через чей VPN вы будете ходить, будут знать ваш имеил и откуда куда вы ходите. Плюс, какое-нибудь погодное приложение будет запрашивать погоду для того места, где вы находитесь, по открытому HTTP. И так далее.playnet
05.02.2019 21:29Погода… MIUI, погодный встроенный сервис, требует доступ к контактной книге, при запрете — просто не стартует. Казалось бы, миллионы устройств, а там такая хрень стоит.
Revertis
05.02.2019 21:35Да-да, всё так. В китайфонах изначально малварь сидит. И общается обычно по HTTP.
Victor_koly
05.02.2019 22:54Да кучу всего требуют проги на Андроид. Да и флешки ВКонтакте тоже весьма часто.
Konachan700
06.02.2019 13:21И что от того, что какой-то китаец знает, что я из деревни Гадюкино посмотрел Пикабу? Провайдер мой это тоже знает на пару с товарищем майором. Гугл знает, кому браузер отправляет отчеты. Владелец «маркетингового» DPI, который поставил у себя провайдер, тоже знает. Конторы, понаставившие счетчиков, баннеров и прочего… Тысячи их. В 21 веке борьба со сбором такой статистики выглядит как ретроградство и луддизм — с фактом масового сбора бигдаты ничего нельзя сделать, это большой бизнес и серьезное удобство для большинства.
Если не нравится, что собирают данные — никто не запрещает применить персональное огораживание: резать рекламу и ифреймы, поставить имитаторы данных на рутованный телефон, не использовать китайский впн, и так далее. Но проблемы необоснованной паранойи конкретного Васи Пупкина не должны перекладыватся на плечи всего общества…Revertis
06.02.2019 14:34И что от того, что какой-то китаец знает, что я из деревни Гадюкино посмотрел Пикабу?
Дело не в пикабу. А в том, что они сливают всё, до чего могут дотянуться.
Вот сольют у вас список контактов, а потом будут у них просить от вашего имени денег (как это практикуется с акками скайпа). И будут вашими же данными пользоваться для того, чтобы выглядеть «настоящим Ильёй».
Или шантажировать вас перехваченными вашими фотками, что вышлют всем контактам.
Или, банально, будут им слать спам. А ваши знакомые будут удивляться «откуда спаммеры узнали мой секретный имеил?».
А вы будете так же рассуждать, что двери можно не закрывать, всё равно кому надо в форточку пролезут, и в 21 веке защищаться невозможно.
shpaker
05.02.2019 15:18Данных кучу можно выгрести таким сервисом. Да и не всё и не всегда по HTTPS бежит. Плюс вангую, что есть куча третьесортных (и не только) мобильных приложений, отсылающих на свои сервера всё что не попадя по нескурному соединению. Проверять если честно лень, но внутренний параноик трясётся в ужасе от того, как последние годы форсятся в тырнетах бесплатные VPN-сервисы от хрен поими кого и всякие легаси протоколы (привет сокс).
barbos6
05.02.2019 16:30-2В вздухе отчетливо запахло серой…
Не оплатил ли РКН, не к ночи будь помянут, это «исследование»? :)
firedragon
05.02.2019 19:06Автор топит за то что китайский товарищ майор хуже чем господин майор из США?
Arbane
05.02.2019 20:14Американская шизофрения про Китай, похоже
AquiHostStrider
05.02.2019 21:50+1.
И название явно «жёлтое». «Кто стоит на самом деле?..» — Ну ясно же всем нормальным человекам и прочим истинным шотландцам, что это ЦРУ, рептилоиды, Моссади лично Путин.
Вообще, я сначала подумал, что статья будет из серии «как мошенники эксплуатируют массовую IT-безграмотность пользователей», которые не имеют понятия о том, как работает сетевое соединение, и ищут волшебное приложение, которое само всё сделает.Victor_koly
05.02.2019 23:03которые не имеют понятия о том, как работает сетевое соединение, и ищут волшебное приложение, которое само всё сделает.
Это нужно не приложение. Просто находите провайдера, который Вам за 6-7-значную сумму (и явно не в рублях) проложит оптику и прямой VLAN до DE-CIX (как вариант — их филиала DE-CIX Istanbul). Ну и на месяц Вам это будет стоить явно не меньше, чем 50 руб/км пути от Вашего оборудования до того дата-центра.
ZetaTetra
05.02.2019 22:52Идея интересная, если VPN провайдеры умудрились монетизировать свободу получения информации, то можно пойти им на встречу.
Для регистрациях в таких VPN'ах помогают tempmail'ы. Либо в вебе, либо боты (Для примера @fakemailbot) в том-же телеграме. Если VPN для гостевого доступа начинает отсекать tempmail'ы (protonvpn к примеру), то лучше поискать нечто менее подозрительное…
gdt
06.02.2019 10:15Какое-то однобокое изучение получилось, точно знаю что есть и американские популярные VPN, взять хотя бы Hotspot Shield — но они почему-то оказались обделены вниманием.
shpaker
06.02.2019 11:14А разница какая? Ну заменить китайцев на американцев, что изменится? По статье согласен — мне нравится её идея, но подача немного хроманула однобокостью.
teecat
06.02.2019 12:17Добавлю, что VPN это мода. А где мода, там вирмейкеры. Из быстронайденного
Троянец, получивший имя Android.DownLoader.818.origin, был встроен в программу с именем Turbo VPN – Unlimited Free VPN & Proxy, которую загрузили свыше 11 000 владельцев мобильных Android-устройств.
ua30
06.02.2019 13:13+1Я не понял. Вы хотели и бесплатно, и жирно? Сейчас даже при оплате не всегда жирно будет. В кино перед сеансом крутят 10 минут анонсов. Метро увешано рекламой. По большому счету, если пользователь пользуется чем-то бесплатным, он должен отдавать себе отчет о том, что оно бесплатно не просто так.
amarao
Есть разница между «доверяют данные» и «получают доступ». Я готов доверить pcap своего ssh-соединения любой компании, которая мне сделает хорошее коннективити.
kuza2000
Согласен.Когда-то весь трафик был открытый, и как-то жили. Пусть больше будет vpn, хороших и разных.