Исследователи из Citizen Lab опубликовали тревожный отчет о серьезных проблемах безопасности в более чем 20 VPN-приложениях из магазина Google Play. Суммарное количество загрузок этих приложений превышает 972 миллиона, что делает масштаб потенциальной угрозы беспрецедентным для индустрии мобильной кибербезопасности.
Скрытая сеть связанных VPN-провайдеров
Анализ показал, что разработчики проблемных VPN-приложений тесно связаны между собой, несмотря на заявления о независимости компаний. Исследование выявило взаимосвязь между тремя основными поставщиками, зарегистрированными в Сингапуре: Innovative Connecting, Autumn Breeze и Lemon Clove. Все эти организации имеют связи с китайскими гражданами и используют различные методы сокрытия своей истинной структуры.
Восемь VPN-приложений от этих компаний, включая популярные Turbo VPN, VPN Monster, VPN Proxy Master, Snap VPN и другие, демонстрируют критические сходства в коде и архитектуре. Суммарно эти приложения установили более 330 миллионов пользователей через Google Play Store.
Критические уязвимости протокола Shadowsocks
Основной проблемой выявленных приложений является использование протокола Shadowsocks, изначально разработанного для обхода интернет-цензуры в Китае, а не для обеспечения приватности. Протокол содержит множественные уязвимости:
Использование устаревших алгоритмов шифрования делает передаваемые данные уязвимыми для расшифровки. Все исследованные приложения содержат одинаковые жестко закодированные пароли для конфигурации Shadowsocks, что позволяет злоумышленникам потенциально перехватывать и модифицировать трафик пользователей.
Единая инфраструктура под разными брендами
Используя обнаруженный жестко закодированный пароль, исследователи Citizen Lab подтвердили, что все три основных поставщика VPN используют общую техническую инфраструктуру. Это окончательно доказывает связь между якобы независимыми компаниями и ставит под сомнение их заявления о конфиденциальности данных пользователей.
Расширение сети подозрительных провайдеров
Исследование также выявило вторую группу потенциально связанных провайдеров: Matrix Mobile PTE LTD, ForeRaya Technology Limited, Wildlook Tech PTE LTD и другие. Их VPN-решения, насчитывающие более 380 миллионов загрузок, демонстрируют аналогичные уязвимости и подключаются к тем же IP-адресам.
Дополнительно были идентифицированы два других поставщика — Fast Potato Pte. Ltd и Free Connected Limited, использующие собственную проприетарную реализацию протокола с аналогичными проблемами безопасности.
Скрытый сбор пользовательских данных
Помимо уязвимостей шифрования, все исследованные приложения тайно собирают информацию о местоположении пользователей, нарушая основные принципы приватности, которые должны обеспечивать VPN-сервисы. Это создает дополнительные риски для пользователей, особенно в странах с ограничениями свободы интернета.
Связь с китайской компанией под санкциями
Исследователи установили связь всех трех основных компаний с Qihoo 360 — китайской компанией в сфере информационной безопасности, которая попала под санкции США в 2020 году. Эта связь вызывает дополнительные вопросы о возможном государственном контроле над пользовательскими данными.
Выявленные проблемы создают серьезные риски для миллионов пользователей, которые доверили свою цифровую приватность этим приложениям. Эксперты настоятельно рекомендуют избегать использования VPN-сервисов на базе протокола Shadowsocks и тщательно исследовать репутацию и техническую документацию VPN-провайдеров перед установкой их приложений. Данный случай подчеркивает критическую важность независимого аудита безопасности мобильных приложений и необходимость более строгого контроля со стороны платформ распространения приложений.
