Aplikacje VPN na Androidzie: nieuzasadnione uprawnienia, śledzenie użytkowników i pełno luk
Połączenie VPN w założeniu ma przynosić jedynie korzyści – ukrywać nasz ruch sieciowy przed postronnymi i dawać dostęp do geoblokowanych treści w Sieci. Można by się zatem spodziewać, że kiedy z niego korzystamy, nasza prywatność jest dobrze chroniona. Do innych wniosków można natomiast dojść, kiedy przeanalizuje się badania prezentujące poziom bezpieczeństwa w mobilnych aplikacjach VPN. Badacze sprawdzili niemal 300 aplikacji dla systemu Android związanych z tworzeniem połączeń VPN, a wnioski są szokujące – tylko niewielki procent wszystkich programów można uznać za rzeczywiście bezpieczne.
Już na początku warto zaznaczyć, iż testom poddano aplikacje, które ogólnie uchodzą za uznane. Ponad 1/3 z wszystkich wziętych pod uwagę programów może poszczycić się liczbą instalacji na poziomie ponad 500 tysięcy, z kolei jedna czwarta z nich – ocenami ze średnią 4 lub więcej gwiazdek (przypomnijmy: w 5-stopniowej skali sklepu Google Play).
Pierwszą zastanawiającą kwestią są niezbędne do działania aplikacji uprawnienia, które trzeba zaakceptować przed instalacją lub przydzielać w trakcie działania programów. Z badań wynika, iż ponad 80% testowanych aplikacji wymagało przydzielenia uprawnień, które trudno w pierwszej chwili uznać za jakkolwiek powiązane z VPN (na przykład dotyczące odczytu wiadomości SMS).
Interesujące mogą wydawać się również wyniki testów antywirusowych – niemal 4 na 10 aplikacji zostały według VirusTotal uznane za szkodliwe i zawierające malware. Wśród tych szkodliwych 29% stanowiły trojany, ale pojawiły się także zagrożenia innego typu.
Zaskakujące są także dalsze spostrzeżenia związane z samym działaniem aplikacji. Według badań aż 75% z nich wykorzystuje biblioteki śledzące, a 18% w praktyce zaburza cały sens korzystania z VPN, nie stosując szyfrowania podczas nawiązywania i utrzymywania połączeń. Część programów dodatkowo nietypowo pobiera dane – z użyciem autorskich protokołów, czy za pośrednictwem innych użytkowników, zamiast wykorzystywać połączenie z serwerem.
Tego rodzaju badania pokazują, że podczas korzystania z aplikacji w teorii wyłącznie zwiększających nasze bezpieczeństwo, warto mieć na uwadze, że ich twórcy mogli mieć różne intencje. Choć nie można wykluczyć, że część wykrytych błędów została popełniona przypadkowo, to jednak na przykład konieczność zapewnienia aplikacji dostępu do pozornie zbędnych zasobów, wydaje się być wystarczającym argumentem, by więcej z niej nie korzystać. Jak widać nawet pozytywne opinie większości użytkowników nie są wyznacznikiem faktycznej jakości aplikacji.
