Исследователи из Мичиганского университета разработали инструментарий MVPNalyzer для выявления утечек информации и анализа работы VPN, и проверили с его помощью 281 VPN-приложение для платформы Android. Для изучения были отобраны наиболее популярные VPN-приложений, распространяемые через каталог Google Play. VPN-приложения, в которых были выявлены те или иные проблемы с безопасностью и приватностью, в сумме насчитывают 2.4 миллиарда установок. Основные выводы:

В 169 приложениях (60%) не применялась обфускация трафика, использовались типовые сетевые порты и отслеживаемые в общем потоке протоколы. Подобное поведение расходится с ожиданиями пользователей - в соответствии с опросом, проведённым в прошлом году, 82% пользователей VPN считают, что VPN обеспечивает им анонимность. В 76 приложениях (27%) передавались уникальные для устройств идентификаторы AAID (Android Advertising ID), позволяющие отслеживать устройства и пользователей. В 246 приложениях (87%) зафиксировано обращение к известным рекламным сетям и сервисам отслеживания пользователей (всего зафиксировано обращение по 3714 разным URL). Одно приложение отправляло точные GPS-координаты устройства.

В 107 приложениях (38%) применялись настройки, не обеспечивающие оптимальный уровень безопасности. В 20 приложениях, в сумме насчитывающих 40 млн установок, применялись небезопасные методы шифрования. В 96 приложениях, насчитывающих 728 млн установок, использовались ненадёжные механизмы аутентификации. В 3 приложениях в настройках OpenVPN параметр data-ciphers был выставлен в значение "none", допускающее установку каналов связи без шифрования. В 8 приложениях параметр "cipher" был выставлен в значение "none", отключающее шифрование при использовании OpenVPN 2.4 и более ранних версий. В 12 приложениях использовались директивы, объявленные устаревшими. В 61 приложении в конфигурации OpenVPN не были включены директивы для блокирования известных методов атак.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65892
- В 61 приложении (22%) выявлена передача данных без использования шифрования, осуществляемая вне установленного туннеля. Большинство приложений из этой категории пользуются популярностью и в среднем насчитывают 11 млн установок. В 18 приложениях осуществлялось прямое обращение к сервису ip-api.com для определения местоположения по IP-адресу клиента. В 5 случаях без шифрования клиенту передавались файлы конфигурации, содержащие параметры подключения к VPN-серверу. Исследователи провели эксперимент и подтвердили возможность проведения MITM-атаки, позволяющей перенаправить трафик на свой сервер, имея возможность вклинится в канал связи жертвы, например, подключившейся к подконтрольной атакующему публичной беспроводной сети. Проблемные приложения (полный список всех приложений, в которых выявлены проблемы, приводятся на 17 странице PDF-отчёта): BambooVPN: Turbo Fast VPN (free.vpn.unblock.proxy.bamboovpn); VPN Pro (com.nebulatech.voocvpnpro); Free VPN (com.appoxide.freevpn); Hexa VPN (com.secure.vpn.proxy); 101 VPN (com.shwe.vpn101).

В 169 приложениях (60%) не применялась обфускация трафика, использовались типовые сетевые порты и отслеживаемые в общем потоке протоколы. Подобное поведение расходится с ожиданиями пользователей - в соответствии с опросом, проведённым в прошлом году, 82% пользователей VPN считают, что VPN обеспечивает им анонимность. В 76 приложениях (27%) передавались уникальные для устройств идентификаторы AAID (Android Advertising ID), позволяющие отслеживать устройства и пользователей. В 246 приложениях (87%) зафиксировано обращение к известным рекламным сетям и сервисам отслеживания пользователей (всего зафиксировано обращение по 3714 разным URL). Одно приложение отправляло точные GPS-координаты устройства.

В 107 приложениях (38%) применялись настройки, не обеспечивающие оптимальный уровень безопасности. В 20 приложениях, в сумме насчитывающих 40 млн установок, применялись небезопасные методы шифрования. В 96 приложениях, насчитывающих 728 млн установок, использовались ненадёжные механизмы аутентификации. В 3 приложениях в настройках OpenVPN параметр data-ciphers был выставлен в значение "none", допускающее установку каналов связи без шифрования. В 8 приложениях параметр "cipher" был выставлен в значение "none", отключающее шифрование при использовании OpenVPN 2.4 и более ранних версий. В 12 приложениях использовались директивы, объявленные устаревшими. В 61 приложении в конфигурации OpenVPN не были включены директивы для блокирования известных методов атак.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65892