После Whatsapp, Snapchat и Facebook, чаще всего люди ищут мобильные приложения для VPN. «VPN» – второй по популярности термин, не являющийся торговой маркой, после «игры», и в результатах поиска доминируют исключительно бесплатные приложения. Самые популярные из них собрали сотни миллионов установок по всему миру, однако, кажется, что тому, какие компании стоят за ними, уделяется слишком мало внимания, а магазины мобильных приложений слишком поверхностно их изучают.

Когда человек решает установить на своё устройство VPN какой-либо компании, он, по сути, решает доверять свои данные этой компании вместо своего провайдера проводного или беспроводного соединения. Провайдер VPN может изучать ваш трафик, изменять его, вести запи��и, и, если позволяют правила, отправлять его куда-то ещё. Учитывая потенциал возможного злоупотребления данными, критически важно, чтобы пользователь с умом выбирал себе VPN.

Мы изучили самые популярные приложения VPN в App Store и Google Play Store. Мы обнаружили, что лишь малая доля этих безумно популярных приложений делает хоть что-то, чтобы заслужить доверие людей, пытающихся защитить свою приватность, находясь в онлайне.

Исследование


Мы изучили 20 самых популярных бесплатных приложений, выпадающих в списке по запросу VPN в App и Play Store для Британии и США. В целом в месяц их скачивают по 80 млн раз у Google и по 4 млн раз у Apple. Полностью наша методология и список всех изученных VPN можно найти в подробном отчёте.

Мы обнаружили нечто противоположное высоким стандартам, поддержку которых в приложениях, распространяемых Google и Apple, и находящихся в такой чувствительной категории, мог бы ожидать пользователь. Большая часть приложений происходит от неизвестных и весьма засекреченных компаний, прилагающих все усилия к тому, чтобы скрыть информацию о себе от пользователей.

Эти VPN-приложения были скачаны десятки миллионов раз с крупнейших магазинов приложений, однако они практически не дают пользователю никакой информации о компаниях, стоящих за ними, и о том, что они делают с огромным потоком чувствительного трафика, проходящего через их сервера ежедневно.

Наше исследование обнаружило, что более половины наиболее популярных бесплатных VPN-приложений либо принадлежат китайцам, либо напрямую располагаются в Китае – стране, которая агрессивно подавляет у себя VPN-сервисы в последние годы и железной рукой сдерживает интернет в своих границах. Кроме того, мы обнаружили, что у большей части этих приложений не хватает формально прописанной защиты личной информации и отсутствует поддержка пользователей.

Принадлежность сервисов и их присутствие в вебе


59% изученных приложений либо принадлежат китайцам, либо напрямую располагаются в Китае, несмотря на то, что в этой стране строго запрещены VPN и практикуется слежка за интернет-трафиком. Это поднимает вопросы о том, почему этим компаниям – с крупными базами пользователей по всему миру – разрешают продолжать работать.

Китайские VPN скачивают пользователи из США, Британии, Латинской Америки, Ближнего Востока и Канады. Владельцы трёх из них TurboVPN, ProxyMaster и SnapVPN  оказались связанными друг с другом компаниями. В политике конфиденциальности они отмечают: «Наш бизнес может потребовать от нас передачу ваших личных данных в страны, расположенные за пределами Еврозоны (EEA), включая и такие страны, как Китайская народная республика или Сингапур».

Одно из предложений, VPN Patron, принадлежит гонконгской компании IST Media, рекламирующей себя в Китае, как компанию, занимающуюся мобильной рекламой и монетизирующей интернет-поведение пользователей.

Учитывая то, какие усилия были приложены этими компаниями к тому, чтобы скрыть информацию об их владельцах, часто довольно сложно раскопать, кто именно стоит за приложениями, тем более, обычному пользователю.

У 64% из этих провайдеров нет специального сайта или наличия в вебе, а более половины из перечисленных емейлов представляют собой личные учётные записи в доменах типа Gmail или Yahoo. Более 80% наших запросов на поддержку остались без ответа.

Несмотря на такую непрозрачность, эти компании смогли внушить доверие плохо информированным пользователям тем, что их приложения были одобрены администрацией магазинов Apple и Google.

Политики конфиденциальности, отслеживание, запись действий пользователей


Возможно, одной только популярности этих приложений может оказаться достаточно, чтобы убедить большинство пользователей в их надёжности, но тщательное их рассмотрение вскрывает серьёзные проблемы.

Добросовестные VPN-сервисы, будь они бесплатными или работающими по подписке, обычно имеют подробные политики конфиденциальности, описывающие схему их работы и обязывающие их не следить за пользователями и не записывать их трафик.

Однако у многих популярных VPN-приложений нет ничего даже близко напоминающего такие политики, а у многих вообще нет никаких политик. Это подчёркивает наличие неприятной неопределённости касаемо того, что происходит с огромными объёмами пользовательских данных, и заставляет беспокоиться о том, что миллионы пользователей по всему миру дают неизвестным и потенциально враждебным организациям доступ к своему трафику.

Мы обнаружили, что 86% этих приложений используют нестандартные политики конфиденциальности, где вопрос приватности пользователей тщательно обходится или вовсе не освещается. Некоторые из этих приложений получают полный доступ к интернет-трафику пользователей, позволяют себе отслеживать их и отправлять их данные третьим лицам из Китая. Среди собираемых данных о пользователе присутствует список посещённых веб-сайтов, IP-адрес (включая местоположение пользователя), время, длительность просмотра сайтов, идентификаторы устройств, емейл-адреса и прочее.

Среди распространённых проблем в политиках конфиденциальности встречается:

  • Отслеживание действий пользователя.
  • Отправка сведений о его поведении третьим лицам.
  • Отсутствие важных деталей, касающихся политик отслеживания.
  • Обобщённые тексты политик, не относящиеся к специфике VPN.
  • Заявленная передача данных третьим лицам из Китая.
  • Отсутствие политики.

Более половины (55%) политик выглядят работой любителей – например, они расположены на бесплатных сайтах Wordpress с рекламой или в виде текстовых файлов на анонимных веб-страницах – что заставляет ещё сильнее переживать по поводу законности работы этих компаний.

Что всё это значит?


С точки зрения потребителя, все приложения в официальном магазине отмечены владельцами магазинов Apple или Google, как безопасные и законные. Однако учитывая широту дезинформации и непрозрачности, связанных с этими списками, становится ясно, что в этой категории надзор остаётся минимальным.

Неподозревающие пользователи перенаправляют свой мобильный интернет-трафик через сервера, принадлежащие компаниям, большая часть которых не предоставляет никакой защиты от неправомерного использования данных. Это элементарная халатность со стороны крупнейших техногигантов, отсутствие контроля с их стороны, которое приводит к тому, что миллионы потребителей подвергаются оптовому сбору данных под видом онлайн-защиты.

Также обнаруженные сведения поднимают такие вопросы, как: почему Китай позволяет этим компаниям работать, нарушая его строгие законы, запрещающие использование VPN, и с кем компании делятся этими данными после их получения.

Кроме множества вопросов, возникших после обнаружения такого сильного китайского влияния в этой области, эти открытия требуют, чтобы Apple и Google пояснили потребителям, почему они одобряют приложения компаний, не имеющих веб-присутствия, предлагающих минимальную или обманчивую корпоративную информацию, и обладающих слабыми, а иногда и идущими в разрез с интересами пользователей политиками конфиденциальности.

Позволяя этим непрозрачным, непрофессиональным компаниям размещать потенциально опасные приложения в своих магазинах, Apple и Google демонстрируют неспособность проверить компании, использующие их платформы, и курировать рекламирующиеся там программы. Все демонстрации стремления к контролю над соблюдением приватности не имеют смысла, если за этой потенциально опасной категорией приложений осуществляется так мало надзора.