
Исследователи из США и Индии проверили 281 бесплатное VPN-приложение для Android и наткнулись на набор проблем, который звучит почти как плохая шутка про саму идею VPN. Одни сервисы пропускали трафик мимо туннеля, другие допускали DNS-утечки, третьи вообще тянули критические настройки без шифрования. И всё это — в приложениях с суммарно более чем 2,4 млрд установок. То есть история совсем не про пару сомнительных клиентов с мутной репутацией.
Работу показали на NDSS — конференции, которую в кибербезопасности знают хорошо. Команда из Университета Мичигана, Университета Нью-Мексико и Индийского технологического института в Дели использовала свой инструмент MVPNalyzer и гоняла приложения на Android 14. Вывод вышел неприятный, но прямой: надпись VPN на иконке ещё не значит ни приватности, ни нормальной защиты соединения.
Самая грубая находка — пять приложений, которые загружали конфигурационные файлы вообще без шифрования. А ведь именно эти файлы задают параметры подключения и указывают сервер, через который идёт трафик. В обычной публичной Wi‑Fi-сети этого уже хватает для атаки с подменой конфигурации: злоумышленник может подсунуть свой узел, а приложение даже не заподозрит, что что-то пошло не так. Авторы проверили этот сценарий на практике.
Дальше список проблем просто расширяется. Из 281 приложения 29 не давали полной защиты трафика. Пользователь видит значок VPN в строке состояния, а часть активности при этом спокойно уходит наружу в открытом виде.
Есть и другая сторона — уже не про защиту канала, а про то, как устроены бесплатные сервисы. У 76 приложений исследователи нашли передачу рекламного идентификатора устройства. Он помогает отслеживать пользователя между разными сервисами. Ещё 246 программ подключались к рекламным и аналитическим платформам и отправляли данные о смартфоне: модель, версию Android, разрешение экрана. В одном случае в утечку ушли даже точные GPS-координаты.
На фоне обещаний про «анонимность одним нажатием» это выглядит довольно странно. На деле даже такой набор технических параметров позволяет собрать довольно точный цифровой отпечаток. Для рекламной индустрии он ценен почти так же, как прямой доступ к истории просмотров.
Здесь всё упирается в старый конфликт между маркетингом и экономикой. Бесплатный VPN должен как-то оплачивать серверы, трафик и инфраструктуру. Обычно это реклама, партнёрские интеграции, сбор телеметрии — и в этот момент интересы сервиса и пользователя начинают расходиться.
Похожий сигнал рынок получал ещё в 2016 году. Тогда исследователи CSIRO и Университета Нового Южного Уэльса разобрали сотни Android-VPN и показали, что многие из них запрашивают лишние разрешения, тянут трекеры и не защищают трафик так, как обещают. За десять лет приложения стали выглядеть аккуратнее, но часть старых проблем, как выясняется, никуда не делась.
Есть и чисто техническая сторона. В нынешнем исследовании отдельно проверили 108 приложений на базе OpenVPN и нашли только одно, которое прошло все требования безопасности. Около 89% программ использовали только один механизм аутентификации вместо более надёжной пары из сертификата и пароля. Почти каждое пятое приложение работало на устаревших алгоритмах, включая Blowfish и Triple DES — для таких задач это уже давно слабый вариант.
И это не случайная придирка. Рынок VPN по-прежнему растёт. По оценкам разных аналитических компаний, он уже измеряется десятками миллиардов долларов, а мобильные клиенты остаются главным входом для массовой аудитории. Чем сильнее спрос на простую приватность, тем больше в магазинах приложений сервисов, которые продают красивую иконку вместо нормальной сетевой инженерии.
Google Play тут тоже не выглядит надёжным фильтром. Исследователи отдельно пишут, что автоматические проверки магазина не всегда ловят такие уязвимости, а отметка Verified не гарантирует безопасную конфигурацию туннеля. Пользователь видит знакомую витрину, высокие оценки, миллионы загрузок — и всё это мало говорит о том, как приложение ведёт себя в сети.
Теперь многое будет зависеть от самих разработчиков. Из пяти авторов приложений с незашифрованной загрузкой конфигураций только двое сообщили, что собираются исправлять проблему. Для рынка с миллиардами установок это, мягко говоря, тревожный сигнал: громкие обещания защиты по-прежнему проверяются быстрее, чем их успевают чинить.