Большинство VPN-приложений для Android не заслуживают доверия

Опубликованы результаты исследования защищенности 283 мобильных приложений с реализаций функций VPN, представленных в каталоге Google Play. Результаты превзошли все ожидания и позволили сделать вывод, что в большинстве случаев вместо ожидаемой защиты своего трафика и усиления конфиденциальности пользователь получает не явные и серьезные проблемы с безопасностью.

Некоторые факты:

• В 18% изученных VPN-приложений вообще не используется шифрование и весь трафик передается в открытом виде. При использовании публичных или не заслуживающих доверия беспроводных сетей пользователь оказывается не защищен от MITM-атак;
• 16% VPN-приложений подставляют свой код в web-трафик пользователя. В большинстве случаев код передается для решения таких задач как перекодирование изображений для ускорения их загрузки за счет сокращения размера. Но в двух приложениях JavaScript-код подставлялся в трафик для отслеживания поведения пользователя;
• Четыре приложения устанавливали в систему свои корневые сертификаты, применяемые для организации перехвата и дешифровки HTTPS-соединений;
• В 66% случаев не использовалось сокрытие обращений к DNS, что оставляло злоумышленникам возможность мониторинга или манипуляции запросами к DNS;
• В описании 67% приложений в качестве их достоинств было указано повышение защиты частных данных, при этом обещания не помешали разработчикам 75% из этих приложений задействовать сторонние библиотеки для отслеживания активности пользователя в online. В 82% процентах случаев при установке приложения запрашивались права доступа к ресурсам, содержащим конфеденциальные данные, такие как параметры учетной записи или текстовые сообщения;
• 38% приложений содержали код, который был отнесен сканером безопасности Google VirusTotal к разряду вредоносного.