Дослідники з Citizen Lab виявили масштабну загрозу кібербезпеці, яка торкнулася понад 972 мільйонів користувачів Android. Експертний аналіз показав критичні вразливості у понад 20 VPN-додатках з офіційного магазину Google Play, що створює безпрецедентні ризики для цифрової приватності мільйонів людей по всьому світу.
Прихована мережа взаємопов’язаних VPN-провайдерів
Детальне розслідування розкрило складну схему маскування справжньої власності VPN-сервісів. Три основні компанії – Innovative Connecting, Autumn Breeze та Lemon Clove, зареєстровані в Сингапурі, виявилися тісно пов’язаними між собою, попри публічні заяви про незалежність. Всі ці організації мають документовані зв’язки з китайськими громадянами та застосовують різноманітні методи приховування корпоративної структури.
Вісім популярних VPN-додатків від цих провайдерів, включаючи Turbo VPN, VPN Monster, VPN Proxy Master та Snap VPN, демонструють ідентичні елементи програмного коду та архітектури. Загальна кількість встановлень цих додатків перевищує 330 мільйонів через Google Play Store.
Фундаментальні недоліки протоколу Shadowsocks
Центральною проблемою виявлених додатків є використання протоколу Shadowsocks, який спочатку розроблявся для обходу інтернет-цензури в Китаї, а не для забезпечення надійної приватності. Технічний аудит виявив множинні критичні вразливості:
Застосування застарілих криптографічних алгоритмів робить передані дані вразливими для розшифрування зловмисниками. Найбільш тривожним є факт використання ідентичних жорстко закодованих паролів у всіх досліджених додатках, що потенційно дозволяє кіберзлочинцям перехоплювати та модифікувати користувацький трафік.
Єдина технічна інфраструктура під різними брендами
Використовуючи виявлений жорстко закодований пароль, експерти Citizen Lab встановили, що всі три основні постачальники VPN експлуатують спільну технічну інфраструктуру. Це остаточно підтверджує зв’язок між нібито незалежними компаніями та ставить під сумнів їхні гарантії конфіденційності користувацьких даних.
Розширення мережі підозрілих постачальників
Розслідування також ідентифікувало другу групу потенційно пов’язаних провайдерів: Matrix Mobile PTE LTD, ForeRaya Technology Limited, Wildlook Tech PTE LTD та інші. Їхні VPN-рішення з понад 380 мільйонами завантажень демонструють аналогічні вразливості та підключаються до тих самих IP-адрес.
Додатково були виявлені два інші постачальники – Fast Potato Pte. Ltd та Free Connected Limited, які використовують власну пропрієтарну реалізацію протоколу з подібними проблемами безпеки.
Приховане збирання користувацьких даних
Поряд з криптографічними вразливостями, всі досліджені додатки таємно збирають інформацію про геолокацію користувачів, порушуючи фундаментальні принципи приватності, які мають забезпечувати VPN-сервіси. Це створює додаткові ризики для користувачів, особливо в країнах з обмеженнями свободи інтернету.
Зв’язок з китайською компанією під санкціями
Експерти встановили зв’язок усіх трьох основних компаній з Qihoo 360 – китайською корпорацією у сфері інформаційної безпеки, яка потрапила під санкції США у 2020 році. Цей зв’язок викликає серйозні питання про можливий державний контроль над користувацькими даними.
Виявлені проблеми створюють критичні ризики для мільйонів користувачів, які довірили свою цифрову приватність цим додаткам. Фахівці з кібербезпеки настійно рекомендують уникати VPN-сервісів на базі протоколу Shadowsocks та ретельно досліджувати репутацію провайдерів перед встановленням їхніх додатків. Цей випадок підкреслює критичну важливість незалежного аудиту безпеки мобільних додатків та необхідність посилення контролю з боку платформ розповсюдження програмного забезпечення.
