Citizen Lab zgłasza ukryte sieci VPN dzielące się własnością i luki w zabezpieczeniach

Nowy raport Citizen Lab, Hidden Links, ujawnia sieć dostawców VPN, takich jak Turbo VPN i VPN Monster, którzy są kontrolowani przez jedną firmę i stosują niebezpieczne praktyki bezpieczeństwa, w tym stałe hasła i słabe szyfrowanie.

Nowy dokument badawczy zatytułowany „Ukryte linki: analiza tajnych rodzin aplikacji VPN” ujawnił, jak niektórzy popularni dostawcy wirtualnych sieci prywatnych ( VPN ) celowo ukrywają tożsamość swoich właścicieli i udostępniają luki w zabezpieczeniach.

Współautorami artykułu byli Benjamin Mixon-Baca, Jeffrey Knockel i Jedidiah Crandall, a jego wydawcą było Citizen Lab. Ich badanie obejmowało dogłębną analizę aplikacji ze sklepu Google Play , uwzględniającą wszystko – od podobieństw kodu i komunikacji sieciowej po dokumenty biznesowe.

Badacze zidentyfikowali trzy rodziny sieci VPN, które są potajemnie obsługiwane przez tę samą jednostkę. Do najbardziej znanych należą Innovative Connecting, Autumn Breeze i Lemon Clove, które łącznie mają ponad 700 milionów pobrań.

Firmy te dystrybuują aplikacje takie jak Turbo VPN , VPN Monster i Snap VPN i są powiązane z chińską firmą zajmującą się bezpieczeństwem narodowym, Qihoo 360, na którą rząd USA nałożył sankcje .

Warto zauważyć, że Turbo VPN i Snap VPN zostały również wymienione w raporcie Tech Transparency Project z czerwca 2025 r., w którym zwrócono uwagę na obawy dotyczące bezpieczeństwa narodowego związane z możliwością przesyłania przez te sieci VPN danych amerykańskich do Chin.

Drugą rodzinę dostawców, z ponad 380 milionami pobrań, stanowiły MATRIX MOBILE PTE LTD i ForeRaya Technology Limited. Trzecią rodzinę stanowiły Fast Potato Pte. Ltd i Free Connected Limited.

Dalsze dochodzenie ujawniło, że wiele z tych sieci VPN korzysta ze specjalnej technologii o nazwie Shadowsocks, która pierwotnie została stworzona w celu ominięcia cenzury internetu w Chinach, a nie zapewnienia prywatności. Aplikacje korzystały z przestarzałych i niebezpiecznych metod szyfrowania , co ułatwiało ich zhakowanie. Niektóre aplikacje zostały również przyłapane na zbieraniu informacji o lokalizacji użytkownika i przesyłaniu ich na serwer, mimo że ich polityka prywatności obiecywała, że tego nie zrobią.

Kolejnym kluczowym odkryciem (PDF) było to, że aplikacje te mają nie tylko wspólny kod, ale także poważne luki w zabezpieczeniach. Na przykład, dwie rodziny używały jednego, zakodowanego na stałe hasła do swoich aplikacji VPN. Dla Państwa informacji, zakodowane na stałe hasło to tajny klucz trwale wbudowany w aplikację, co oznacza, że jest takie samo dla każdego użytkownika. Dzięki temu każdy, kto odkryje hasło, może odszyfrować ruch wszystkich użytkowników danej aplikacji, ujawniając ich prywatne dane osobom podsłuchującym.

Badaczom udało się wykorzystać te wspólne hasła, aby potwierdzić, że różniące się wyglądem usługi VPN faktycznie korzystają z tych samych serwerów. Zauważyli również trzy inne aplikacje firm VPN Super Inc., Miczon LLC i Secure Signal Inc., które najwyraźniej nie zawierały tych ukrytych linków.

Niemniej jednak, wspólne luki w zabezpieczeniach oznaczają, że jeśli jedna aplikacja w rodzinie jest podatna na ataki, to samo dotyczy wszystkich pozostałych. Odkrycia te wskazują, że pozornie odrębne aplikacje VPN często są częścią jednej, złośliwej sieci, narażając miliony użytkowników na ryzyko.

Dlatego tak ważne jest, aby użytkownicy wiedzieli, kto naprawdę stoi za ich usługą VPN. Badanie podkreśla krytyczną potrzebę transparentności ze strony dostawców VPN i wzywa sklepy z aplikacjami, takie jak Google Play, do usprawnienia procesu weryfikacji tożsamości twórców aplikacji i audytu bezpieczeństwa aplikacji.