Анализ запроса ненадлежащих полномочий в VPN-приложениях для Android

5 марта 2019 года

Издание Thebestvpn, специализирующееся на сравнении различных VPN-провайдеров, провело анализ полномочий, запрашиваемых приложениями для организации работы через VPN, поставляемыми в каталоге Google Play. Исследование показало, что большинство из проверенных Android-приложений запрашивали полномочия, не имеющие отношения к функциональности VPN.

В частности, 50 из 81 протестированных VPN-приложений запрашивали доступ к пользовательским данным. Несмотря на то, что для работы VPN-приложения достаточно полномочий INTERNET и ACCESS_NETWORK_STATE, во многих приложениях запрашивался доступ к следующим API:

• Чтение и запись на внешние носители: Betternet, Free VPN org, OneVPN, X-VPN, StarVPN, VPN One Click, Yoga VPN, AppVPN, ProXPN, Seed4me VPN, oVPNSpider, Goose VPN, SpyOFF, TouchVPN, SwitchVPN, Trust Zone, McAfee VPN, SurfEasy, Psiphon, TigerVPN, Dash VPN, Hotspot Shield, NordVPN, Hola VPN, SurfShark, VPN Secure, Zoog VPN;
• Получение сведений о точном местоположении пользователя: Yoga VPN, VPN Unlimited, ProXPN, Seed4me VPN, oVPNSpider, SwitchVPN, Dash VPN, Hola VPN, Zoog VPN;
• Получение сведений о приблизительном местоположении: (WindScribe, Free VPN org, Yoga VPN, HideMyAss, Avast VPN, AVG VPN, iVPN, ProXPN, oVPNSpider, TouchVPN, SwitchVPN, Kaspersky VPN, Psiphon VPN, Speedify, Dash VPN, Zoog VPN);
• Загрузка информации о состоянии телефона (телефонный номер, сотовый оператор, статус исходящих вызовов): Avira VPN, Free VPN org, Norton Secure VPN, VPN One Click, Yoga VPN, HideMyAss, AVG VPN, ProXPN, Goose VPN, Touch VPN, McAfee VPN, SurfEasy, Kaspersky VPN, Speedify, Dash VPN, Hotspot Shield, ibVPN, Hola VPN;
• Возможность изменения системных настроек: Hide.me, Speedify, Yoga VPN;
• Доступ к системным логам (в том числе к логу звонков): TigerVPN, oVPNSpider;
• Доступ к пользовательским документам: TigerVPN;
• Возможность загрузки дампа с состоянием системных сервисов: PureVPN.

По числу опасных полномочий лидирует приложение Yoga VPN (запрос доступа к 6 расширенным API), насчитывающее 5 млн установок. На втором месте proXPN VPN (5). Третье место разделили Hola Free VPN (4), Seed4.Me VPN (4), OvpnSpider (4), SwitchVPN (4) и Zoog VPN (4).

Напомним, что проведённое в 2017 году исследование 283 мобильных приложений с реализаций функций VPN, показало, что в 18% из них не используется шифрование (трафик отправлялся в открытом виде), 84% пропускали IPv6-трафик в обход создаваемого туннеля, 66% напрямую отправляли запросы к DNS, 16% с целью оптимизации модифицировали транзитный HTTP-трафик пользователя (например, для перекодирования изображений), два приложения подставляли свою рекламу в транзитный трафик, одно приложение передавало запросы к интернет-магазинам в партнёрский сервис, четыре приложения устанавливали в систему свои корневые сертификаты для перехвата HTTPS-соединений.