Выявлены опасные уязвимости в популярных бесплатных VPN для Android: под угрозой миллиарды пользователей
Исследование охватило 281 VPN-приложение, которые суммарно были установлены более 2,4 млрд раз. Работу выполнили ученые из Университета Мичигана, Университета Нью-Мексико и Индийского технологического института в Дели. Для анализа они использовали собственный инструмент MVPNalyzer, а испытания проводились на устройствах с Android 14. Результаты были представлены на конференции по компьютерной безопасности NDSS.
Одной из самых опасных находок стало отсутствие шифрования при загрузке конфигурационных файлов в пяти приложениях. Именно эти файлы определяют параметры VPN-подключения и сервер, через который проходит весь интернет-трафик пользователя.
При подключении к общественной сети Wi-Fi злоумышленник может подменить такой файл и перенаправить весь трафик через собственный сервер. При этом приложение продолжит работать как обычно, не сообщая пользователю о компрометации соединения. Исследователи успешно воспроизвели подобную атаку на практике. После уведомления разработчиков лишь две компании заявили, что намерены устранить проблему.
Проверка также показала, что далеко не все VPN обеспечивают полноценную защиту интернет-соединения. Из 281 протестированного приложения сразу 29 имели критические недостатки.
Среди наиболее распространенных проблем:
Не менее тревожной оказалась ситуация со сбором пользовательских данных. Несмотря на заявления о защите конфиденциальности, многие бесплатные VPN активно передают информацию сторонним компаниям.
Так, у 76 приложений специалисты обнаружили передачу рекламного идентификатора устройства — уникального номера, который позволяет рекламным сетям отслеживать активность пользователя в разных сервисах.
Кроме того, 246 приложений взаимодействовали с рекламными и аналитическими платформами,
Читать на ilenta.com
