Rambler's Top100
Все новости Новости отрасли

Не все VPN одинаково полезны

03 февраля 2017

Некоторые бесплатные приложения для Android создают серьезные риски для безопасности.

Виртуальные частные сети (virtual private network, VPN) – популярный инструмент среди пользователей, которые хотят обеспечить себе дополнительную приватность и безопасность сетевых соединений или получить доступ к блокированным на определенной территории ресурсам (что теперь весьма актуально, заметим, в нашей стране). VPN-приложения должны защищать пользователей, шифруя интернет-трафик и направляя его через другие каналы, что усложняет для хакеров его перехват. Однако, как показало проведенное недавно исследование, ряд таких приложений, наоборот, создают дополнительные риски для пользователей.

Команда специалистов по безопасности из Калифорнийского университета в Беркли (США), подразделения Data 61 исследовательского агентства CSIRO и Университета Нового Южного Уэльса (оба – Австралия) проанализировала 283 бесплатных мобильных приложения, взятых из Google Play и предназначенных для поддержки VPN-клиентов (т.е. таких, которые запрашивают у системы разрешение BIND_VPN_SERVICE).

В результате анализа выяснилось, что хотя 67% изученных приложений обещали улучшение приватности и безопасности, 82% из них запрашивали доступ к чувствительной информации, такой как текстовые сообщения и данные аккаунтов пользователей, а 84% допускали утечку веб-трафика.

Среди выбранных программных продуктов есть весьма популярные: примерно треть имеют число скачиваний более 500 тыс., а четверть – рейтинг более 4. И тем не менее 38% всех изученных приложений содержали вредоносный код или вредоносную рекламу (по результатам тестирования с помощью сервиса Google VirusTotal), а 18% вообще не шифровали данные. Три приложения (Neopard, DashVPN, DashNet) напрямую перехватывали трафик, что позволяет, например, операторам читать сообщения электронной почты, если пользователь заходил на Gmail (как объясняют разработчики этих приложений, перехват был нужен только затем, чтобы повысить скорость соединений).

Уровень угроз, которые способны создать такие VPN-приложения, конечно, различается. Если они не шифруют трафик (а это, собственно, базовая функция VPN), возможен перехват данных (snooping) при использовании публичного Wi-Fi. Если приложение добавляет свой вредоносный или рекламный код, это не создает угрозы для данных пользователя, но, безусловно, осложняет ему работу в сети (VPN заменяет рекламу на сайте на свою, обычно более навязчивую).

Важно отметить, что для изучения были выбраны только бесплатные Android-приложения, однако, как сказал ресурсу The Verge один из авторов исследования Нарсео Валлина-Родригес, «плата за сервис не обязательно гарантирует безопасность».

Оценивая результаты исследования, нужно учитывать и еще ряд моментов, подчеркивает The Verge. Во-первых, приложения были отобраны для анализа в прошлом году, некоторые из них уже удалены из Play Store. Во-вторых, нельзя сказать наверняка, намеренно ли в них оставлены «дыры» безопасности. «Часто это просто безграмотность, – говорит Валлина-Родригес. – Недостаток знаний».

Анализ рейтингов приложений и отзывов в Play Store, пишут авторы исследования, показывает, что большинство пользователей не имеют представления о таких небезопасных практиках, даже если речь идет о популярных продуктах.

Что посоветовать пользователям, чтобы работа с VPN была безопасной? Как считают эксперты, платный продукт все же лучше бесплатного, поскольку он не будет добывать данные пользователей в целях монетизации. Лучше также использовать сервисы, известные уже достаточно давно. А если вам непременно требуется бесплатное приложение, лучше выбрать такое, которое не запрашивает слишком много доступа к вашим данным и не вставляет рекламу. Но риск остается всегда.

По материалам зарубежных источников

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

4.02 15:17 Игорь Долотов :
Конечно нужно использовать проверенных поставщиков и не использовать бесплатные решения. У нас десятки сервисов типа http://cloudvpn.pro/ предлагают купить VPN по приемлемым ценам.