Утверждения многих разработчиков VPN-приложений для Андроид об «анонимности» онлайн почти всегда ложны. Такое заявление сделали исследователи из организации «Государственное объединение научных и прикладных исследований» (CSIRO).
В научно-исследовательской работе «An Analysis of the Privacy and Security Risks of Android VPN Permission-enabled Apps», команда CSIRO анализирует работу 283 Андроид-приложений для подключения к VPN серверам. Их выводы оказались совершенно неутешительными.
Анализ CSIRO показал, что:
— 18% (2 из 10) VPN-приложений вообще не шифруют трафик;
— 84% из них приводят к утечкам трафика;
— 2 сервиса из 3 используют сторонние библиотеки для трекинга;
— 4 из 5 приложений содержат вредоносный код;
— более 80% (4 из 5) приложений требуют доступ к личным данным, аккаунтам и сообщениям;
— менее 1% приложений оповещают о проблемах безопасности;
Основываясь на этих выводах, 4 из 5 приложений запрашивает ненужный доступ к системе, 4 из 5 содержат вредоносный код, 2 из 5 даже не зашифрованы и более того, могут пытаться получать доступ к данным, для передачи третьи лица.
«Основная причина, по которой пользователи устанавливают эти приложения, — защита данных. И эта функция не выполняется приложениями, которые установили десятки миллионов человек», — заявила CSIRO.
В перечень наиболее опасных VPN-сервисов вошли OkVpn, EasyVpn, SuperVPN, HatVPN, sFly, Network Booster, Betternet, CrossVpn, Archie VPN, One Click и Fast Secure Payment.
Первые пять после публикации были удалены из Google Play. Причем, нужно отметить, что у некоторых из них рейтинг превышал отметку в 4,0.
Эксперты CSIRO порекомендовали обращать пристальное внимания на разрешения, которые, при установке, требует VPN-приложение. Кроме того, советуется проверять программы бесплатным сервисом PrivMetrics, доступным в магазине приложений Google Play и созданным самой CSIRO. Немаловажную роль играет и репутация разработчика приложения.