Кто на самом деле стоит за популярными бесплатными VPN?

Original author: William Chalk
  • Translation


После Whatsapp, Snapchat и Facebook, чаще всего люди ищут мобильные приложения для VPN. «VPN» – второй по популярности термин, не являющийся торговой маркой, после «игры», и в результатах поиска доминируют исключительно бесплатные приложения. Самые популярные из них собрали сотни миллионов установок по всему миру, однако, кажется, что тому, какие компании стоят за ними, уделяется слишком мало внимания, а магазины мобильных приложений слишком поверхностно их изучают.

Когда человек решает установить на своё устройство VPN какой-либо компании, он, по сути, решает доверять свои данные этой компании вместо своего провайдера проводного или беспроводного соединения. Провайдер VPN может изучать ваш трафик, изменять его, вести записи, и, если позволяют правила, отправлять его куда-то ещё. Учитывая потенциал возможного злоупотребления данными, критически важно, чтобы пользователь с умом выбирал себе VPN.

Мы изучили самые популярные приложения VPN в App Store и Google Play Store. Мы обнаружили, что лишь малая доля этих безумно популярных приложений делает хоть что-то, чтобы заслужить доверие людей, пытающихся защитить свою приватность, находясь в онлайне.

Исследование


Мы изучили 20 самых популярных бесплатных приложений, выпадающих в списке по запросу VPN в App и Play Store для Британии и США. В целом в месяц их скачивают по 80 млн раз у Google и по 4 млн раз у Apple. Полностью наша методология и список всех изученных VPN можно найти в подробном отчёте.

Мы обнаружили нечто противоположное высоким стандартам, поддержку которых в приложениях, распространяемых Google и Apple, и находящихся в такой чувствительной категории, мог бы ожидать пользователь. Большая часть приложений происходит от неизвестных и весьма засекреченных компаний, прилагающих все усилия к тому, чтобы скрыть информацию о себе от пользователей.

Эти VPN-приложения были скачаны десятки миллионов раз с крупнейших магазинов приложений, однако они практически не дают пользователю никакой информации о компаниях, стоящих за ними, и о том, что они делают с огромным потоком чувствительного трафика, проходящего через их сервера ежедневно.

Наше исследование обнаружило, что более половины наиболее популярных бесплатных VPN-приложений либо принадлежат китайцам, либо напрямую располагаются в Китае – стране, которая агрессивно подавляет у себя VPN-сервисы в последние годы и железной рукой сдерживает интернет в своих границах. Кроме того, мы обнаружили, что у большей части этих приложений не хватает формально прописанной защиты личной информации и отсутствует поддержка пользователей.

Принадлежность сервисов и их присутствие в вебе


59% изученных приложений либо принадлежат китайцам, либо напрямую располагаются в Китае, несмотря на то, что в этой стране строго запрещены VPN и практикуется слежка за интернет-трафиком. Это поднимает вопросы о том, почему этим компаниям – с крупными базами пользователей по всему миру – разрешают продолжать работать.

Китайские VPN скачивают пользователи из США, Британии, Латинской Америки, Ближнего Востока и Канады. Владельцы трёх из них TurboVPN, ProxyMaster и SnapVPN  оказались связанными друг с другом компаниями. В политике конфиденциальности они отмечают: «Наш бизнес может потребовать от нас передачу ваших личных данных в страны, расположенные за пределами Еврозоны (EEA), включая и такие страны, как Китайская народная республика или Сингапур».

Одно из предложений, VPN Patron, принадлежит гонконгской компании IST Media, рекламирующей себя в Китае, как компанию, занимающуюся мобильной рекламой и монетизирующей интернет-поведение пользователей.

Учитывая то, какие усилия были приложены этими компаниями к тому, чтобы скрыть информацию об их владельцах, часто довольно сложно раскопать, кто именно стоит за приложениями, тем более, обычному пользователю.

У 64% из этих провайдеров нет специального сайта или наличия в вебе, а более половины из перечисленных емейлов представляют собой личные учётные записи в доменах типа Gmail или Yahoo. Более 80% наших запросов на поддержку остались без ответа.

Несмотря на такую непрозрачность, эти компании смогли внушить доверие плохо информированным пользователям тем, что их приложения были одобрены администрацией магазинов Apple и Google.

Политики конфиденциальности, отслеживание, запись действий пользователей


Возможно, одной только популярности этих приложений может оказаться достаточно, чтобы убедить большинство пользователей в их надёжности, но тщательное их рассмотрение вскрывает серьёзные проблемы.

Добросовестные VPN-сервисы, будь они бесплатными или работающими по подписке, обычно имеют подробные политики конфиденциальности, описывающие схему их работы и обязывающие их не следить за пользователями и не записывать их трафик.

Однако у многих популярных VPN-приложений нет ничего даже близко напоминающего такие политики, а у многих вообще нет никаких политик. Это подчёркивает наличие неприятной неопределённости касаемо того, что происходит с огромными объёмами пользовательских данных, и заставляет беспокоиться о том, что миллионы пользователей по всему миру дают неизвестным и потенциально враждебным организациям доступ к своему трафику.

Мы обнаружили, что 86% этих приложений используют нестандартные политики конфиденциальности, где вопрос приватности пользователей тщательно обходится или вовсе не освещается. Некоторые из этих приложений получают полный доступ к интернет-трафику пользователей, позволяют себе отслеживать их и отправлять их данные третьим лицам из Китая. Среди собираемых данных о пользователе присутствует список посещённых веб-сайтов, IP-адрес (включая местоположение пользователя), время, длительность просмотра сайтов, идентификаторы устройств, емейл-адреса и прочее.

Среди распространённых проблем в политиках конфиденциальности встречается:

  • Отслеживание действий пользователя.
  • Отправка сведений о его поведении третьим лицам.
  • Отсутствие важных деталей, касающихся политик отслеживания.
  • Обобщённые тексты политик, не относящиеся к специфике VPN.
  • Заявленная передача данных третьим лицам из Китая.
  • Отсутствие политики.

Более половины (55%) политик выглядят работой любителей – например, они расположены на бесплатных сайтах Wordpress с рекламой или в виде текстовых файлов на анонимных веб-страницах – что заставляет ещё сильнее переживать по поводу законности работы этих компаний.

Что всё это значит?


С точки зрения потребителя, все приложения в официальном магазине отмечены владельцами магазинов Apple или Google, как безопасные и законные. Однако учитывая широту дезинформации и непрозрачности, связанных с этими списками, становится ясно, что в этой категории надзор остаётся минимальным.

Неподозревающие пользователи перенаправляют свой мобильный интернет-трафик через сервера, принадлежащие компаниям, большая часть которых не предоставляет никакой защиты от неправомерного использования данных. Это элементарная халатность со стороны крупнейших техногигантов, отсутствие контроля с их стороны, которое приводит к тому, что миллионы потребителей подвергаются оптовому сбору данных под видом онлайн-защиты.

Также обнаруженные сведения поднимают такие вопросы, как: почему Китай позволяет этим компаниям работать, нарушая его строгие законы, запрещающие использование VPN, и с кем компании делятся этими данными после их получения.

Кроме множества вопросов, возникших после обнаружения такого сильного китайского влияния в этой области, эти открытия требуют, чтобы Apple и Google пояснили потребителям, почему они одобряют приложения компаний, не имеющих веб-присутствия, предлагающих минимальную или обманчивую корпоративную информацию, и обладающих слабыми, а иногда и идущими в разрез с интересами пользователей политиками конфиденциальности.

Позволяя этим непрозрачным, непрофессиональным компаниям размещать потенциально опасные приложения в своих магазинах, Apple и Google демонстрируют неспособность проверить компании, использующие их платформы, и курировать рекламирующиеся там программы. Все демонстрации стремления к контролю над соблюдением приватности не имеют смысла, если за этой потенциально опасной категорией приложений осуществляется так мало надзора.
Support the author
Share post

Comments 39

    +10
    Есть разница между «доверяют данные» и «получают доступ». Я готов доверить pcap своего ssh-соединения любой компании, которая мне сделает хорошее коннективити.
      +2

      Согласен.Когда-то весь трафик был открытый, и как-то жили. Пусть больше будет vpn, хороших и разных.

      +11
      Хорошая попытка, товарищ майор…
        +2
        Ну почему сразу майор. Просто в мире происходит какой-то сюр. Доступ к сервисам предоставляет некая китайская компания которая обходит настройки великого китайского фаервола. В этом плане уже нет особой разницы какой шеврон на рукаве у майора. возможность обмена данными есть, а пользуются ли майоры такой возможностью или нет это уже другой вопрос.
          +1
          Это как раз объяснимо. В Китае большой спрос на VPN -> есть компании, которые его дают (из Гонконга, например) -> эти компании пытаются расширить бизнес.

          Это же может объяснить желание не афишировать себя. Но гарантий, что эти компании не дружат с китайскими спецслужбами, конечно, дать нельзя.
          +1
          В данном случае (так как это перевод), то это писал: и не товарищ, и уж точно не майор.
          0
          Пользователь и в браузере может набрать адрес опасного или собирающего личные данные сайта. Так можно дойти до требования цензурировать ссылки, по которым пользователь может переходить.
          Эти приложения ВПН, насколько мне известно, просто устанавливают профиль в систему. Само подключение выполняется через системные интерфейсы (по крайней мере в iOS). Точно также можно вручную настроить подключение без всякого приложения. При установке профиля, насколько я помню, система запрашивает разрешение и предупреждает что это может нести риски (опять же речь про iOS).
            0
            Так можно дойти до требования цензурировать ссылки, по которым пользователь может переходить.

            Так уже. Оттого и впн понадобились :)

              +1
              Эти приложения ВПН, насколько мне известно, просто устанавливают профиль в систему.

              VPN — это не просто волшебная труба, которая ведет сразу к нужному вам ресурсу.
              Он ведет на некий сервер, через который ваши данные и идут дальше по назначению и обратно к вам.
              Соответственно, этот сервер имеет полный доступ ко всем передаваемым вами данным.
              Даже если ваши данные зашифрованы, есть уязвимости, которые позволяют данные расшифровать, есть информация, от кого и куда идут данные, которая имеет значение сама по себе. А если данные открытые, то вообще читай — не хочу.
              С большой вероятностью приложения ставят профиль соединения не через какой-то абстрактный сервер, а через сервер, принадлежащий фирме, продвигающей приложение, или тесно связанной с ней конторе.
              Как-то так.
              Плюс приложение может само по себе содержать в себе дополнительный функционал, позволяющий, например, отправлять в трубу серверу дополнительную информацию с устройства, например, ключи шифрования, буде локально к ним приложению получится поиметь доступ. Причем информация пойдет в шифрованной трубе, что сильно осложнит возможность заметить факт передачи.
              Так что использование неизвестного приложения из странного источника дополнительно множит потенциальные риски использования VPN соединения через чужой сервер.

                –1
                Даже если ваши данные зашифрованы, есть уязвимости, которые позволяют данные расшифровать
                Ага-ага. И зачем гугл всех на https загоняет, не понятно. Всё равно расшифруют же.
                этот сервер имеет полный доступ ко всем передаваемым вами данным
                Мой провайдер имеет полный доступ к передаваемым данным. Вместе с СОРМом. Это, по-моему, гораздо больший риск, чем любой китайский впн.

                Я не к тому, что любые китайские впн полностью безопасны. Везде есть преимущества и риски.
                  +1
                  Ага-ага. И зачем гугл всех на https загоняет, не понятно. Всё равно расшифруют же.

                  Ох уж эта слепая вера в шифрование.
                  Во-первых, это лишь повышает вероятность, что посторонние не получат доступ к информации (а потому во многих случаях с шифрованием лучше, чем без него).
                  Во-вторых, самое крутое шифрование становится бесполезным, если доверять свой трафик кому попало, а тем более ставить левые приложения на свое устройство.


                  Мой провайдер имеет полный доступ к передаваемым данным. Вместе с СОРМом. Это, по-моему, гораздо больший риск, чем любой китайский впн.

                  Это повод поставить стремное приложение на свое устройство?

                    0
                    свое ли это устройство…
              +4
              Это достаточно интересная, и актуальная, тема. Но разбор очень уж «рекламный», какие то проценты и предположения без фактов. Вы конкретно какие приложения проверяли? Что накапали? Где источники и доказательства? Или просто принять на веру? Хотя в целом все знают где бесплатный сыр.
                +1
                Вы разговариваете с переводом. Ссылка на полное исследование со всеми подробностями есть в тексте.
                  0
                  На всякий случай вот она
                • UFO just landed and posted this here
                    +1
                    Банально, привязка ваших привычек просмотра сайтов, местоположения и всех айпишников к вашему имейлу.
                      –1
                      Аккаунт Гугла конечно сообщит правду про мои входы на него. А не что-то вроде такого:
                      Заголовок спойлера
                        +1
                        А при чём тут активность, которую записывает гугл? Вы удивитесь, сколько приложений без предупреждения при первом запуске отсылают ваш имеил на свои сервера.
                        Таким же образом китайцы, через чей VPN вы будете ходить, будут знать ваш имеил и откуда куда вы ходите. Плюс, какое-нибудь погодное приложение будет запрашивать погоду для того места, где вы находитесь, по открытому HTTP. И так далее.
                          0
                          Погода… MIUI, погодный встроенный сервис, требует доступ к контактной книге, при запрете — просто не стартует. Казалось бы, миллионы устройств, а там такая хрень стоит.
                            0
                            Да-да, всё так. В китайфонах изначально малварь сидит. И общается обычно по HTTP.
                              0
                              Да кучу всего требуют проги на Андроид. Да и флешки ВКонтакте тоже весьма часто.
                        • UFO just landed and posted this here
                            0
                            И что от того, что какой-то китаец знает, что я из деревни Гадюкино посмотрел Пикабу?
                            Дело не в пикабу. А в том, что они сливают всё, до чего могут дотянуться.
                            Вот сольют у вас список контактов, а потом будут у них просить от вашего имени денег (как это практикуется с акками скайпа). И будут вашими же данными пользоваться для того, чтобы выглядеть «настоящим Ильёй».
                            Или шантажировать вас перехваченными вашими фотками, что вышлют всем контактам.
                            Или, банально, будут им слать спам. А ваши знакомые будут удивляться «откуда спаммеры узнали мой секретный имеил?».

                            А вы будете так же рассуждать, что двери можно не закрывать, всё равно кому надо в форточку пролезут, и в 21 веке защищаться невозможно.
                          0
                          Данных кучу можно выгрести таким сервисом. Да и не всё и не всегда по HTTPS бежит. Плюс вангую, что есть куча третьесортных (и не только) мобильных приложений, отсылающих на свои сервера всё что не попадя по нескурному соединению. Проверять если честно лень, но внутренний параноик трясётся в ужасе от того, как последние годы форсятся в тырнетах бесплатные VPN-сервисы от хрен поими кого и всякие легаси протоколы (привет сокс).
                          –1
                          Большой брат везде
                            0
                            Ну не надо драматизировать. вы еще обладаете свободой, сидеть дома голым и ковыряться в пупке или в других естественных отверстиях
                              –1
                              Свободой да, но не факт, что этого никто не видит ;)
                                0
                                Что-то видят
                            –2
                            В вздухе отчетливо запахло серой…
                            Не оплатил ли РКН, не к ночи будь помянут, это «исследование»? :)

                              +2
                              Автор топит за то что китайский товарищ майор хуже чем господин майор из США?
                                +1
                                Американская шизофрения про Китай, похоже
                                  0
                                  +1.
                                  И название явно «жёлтое». «Кто стоит на самом деле?..» — Ну ясно же всем нормальным человекам и прочим истинным шотландцам, что это ЦРУ, рептилоиды, Моссад и лично Путин.

                                  Вообще, я сначала подумал, что статья будет из серии «как мошенники эксплуатируют массовую IT-безграмотность пользователей», которые не имеют понятия о том, как работает сетевое соединение, и ищут волшебное приложение, которое само всё сделает.
                                    –1
                                    которые не имеют понятия о том, как работает сетевое соединение, и ищут волшебное приложение, которое само всё сделает.

                                    Это нужно не приложение. Просто находите провайдера, который Вам за 6-7-значную сумму (и явно не в рублях) проложит оптику и прямой VLAN до DE-CIX (как вариант — их филиала DE-CIX Istanbul). Ну и на месяц Вам это будет стоить явно не меньше, чем 50 руб/км пути от Вашего оборудования до того дата-центра.
                                  –1
                                  Идея интересная, если VPN провайдеры умудрились монетизировать свободу получения информации, то можно пойти им на встречу.

                                  Для регистрациях в таких VPN'ах помогают tempmail'ы. Либо в вебе, либо боты (Для примера @fakemailbot) в том-же телеграме. Если VPN для гостевого доступа начинает отсекать tempmail'ы (protonvpn к примеру), то лучше поискать нечто менее подозрительное…
                                    0
                                    Какое-то однобокое изучение получилось, точно знаю что есть и американские популярные VPN, взять хотя бы Hotspot Shield — но они почему-то оказались обделены вниманием.
                                      0
                                      А разница какая? Ну заменить китайцев на американцев, что изменится? По статье согласен — мне нравится её идея, но подача немного хроманула однобокостью.
                                      +1
                                      Добавлю, что VPN это мода. А где мода, там вирмейкеры. Из быстронайденного

                                      Троянец, получивший имя Android.DownLoader.818.origin, был встроен в программу с именем Turbo VPN – Unlimited Free VPN & Proxy, которую загрузили свыше 11 000 владельцев мобильных Android-устройств.
                                        +3
                                        Я не понял. Вы хотели и бесплатно, и жирно? Сейчас даже при оплате не всегда жирно будет. В кино перед сеансом крутят 10 минут анонсов. Метро увешано рекламой. По большому счету, если пользователь пользуется чем-то бесплатным, он должен отдавать себе отчет о том, что оно бесплатно не просто так.

                                        Only users with full accounts can post comments. Log in, please.