Новое исследование предупреждает: несколько бесплатных VPN-приложений для iOS и Android допускают утечку данных

Согласно новому исследованию Zimperium zLabs, миллионы людей, использующих бесплатные мобильные приложения виртуальной частной сети ( VPN ) для обеспечения конфиденциальности в Интернете, на самом деле подвергают свои данные большему риску. Изучив почти 800 бесплатных VPN-приложений для Android и iOS, исследователи обнаружили, что многие из них не только не защищают пользователей, но и подвергают их серьёзным угрозам безопасности и конфиденциальности.

Команда zLabs обнаружила, что значительная часть этих приложений демонстрирует опасное поведение. Некоторые допускают утечку персональных данных, в то время как многие другие «вообще не обеспечивают никакой настоящей конфиденциальности». Исследователи отметили, что серьёзную обеспокоенность вызывает использование разработчиками невероятно старого и уязвимого программного обеспечения.

Например, анализ показал, что три VPN-приложения по-прежнему используют устаревшую часть библиотеки OpenSSL , что делает их уязвимыми для печально известнойуязвимости Heartbleed ( CVE-2014-0160 ). Эта уязвимость, обнаруженная в 2014 году, могла позволить удалённому злоумышленнику получить доступ к конфиденциальной информации, такой как секретные ключи, имена пользователей и пароли.

Около 1% приложений были уязвимы к атакам типа «Человек посередине» ( MitM ), что давало злоумышленникам возможность перехватывать и читать весь пользовательский трафик. Выпуск приложения с десятилетней уязвимостью, для которой уже существует известное решение, свидетельствует о серьёзном невнимании к вопросам безопасности.

Дальнейшее исследование показало, что многие приложения также запрашивают избыточный, но ненужный доступ. Эта практика известна как злоупотребление разрешениями. Например, запрос VPN-приложения для iOS на «постоянный» доступ к данным о местоположении (LOCATION_ALWAYS) бессмыслен, поскольку основная задача VPN — защищать трафик, а не отслеживать ваше физическое местоположение 24/7.

Аналогичным образом некоторые приложения Android запросили возможность читать все системные журналы (READ_LOGS), что позволило бы им создать полный профиль поведения пользователя, работая таким образом как «сложный кейлоггер».

Некоторые приложения запрашивали разрешения, такие как доступ к микрофонам, системным журналам или захват экрана пользовательского интерфейса, предоставляя поставщику приложения вектор наблюдения, выходящий далеко за рамки его заявленной функции.

Согласно сообщению в блоге Zimperium zLabs, исследователи обнаружили повсеместное отсутствие прозрачности в проверенных приложениях, что затрудняет возможность пользователей дать информированное согласие на сбор данных. Даже в App Store от Apple у целых 25% VPN-приложений для iOS отсутствовал действительный манифест конфиденциальности — основное требование, призванное информировать пользователей о том, как будут обрабатываться их данные.

Кроме того, более 6% этих приложений iOS запрашивали приватные права, которые представляют собой мощные разрешения , позволяющие получить глубокий доступ к операционной системе, и которые ни при каких обстоятельствах не должны предоставляться сторонним разработчикам.

Для компаний, которые разрешают сотрудникам использовать личные устройства в рабочих целях (так называемая политика «принеси своё устройство» или BYOD ), такие небезопасные VPN могут стать самым слабым звеном, подвергая конфиденциальные бизнес-данные неоправданному риску. В конечном счёте, когда речь идёт о бесплатных мобильных VPN, то, что якобы защищает вашу конфиденциальность, на самом деле может представлять собой самый большой риск для ваших данных.

« Организациям необходим многоуровневый ответ. Прозрачность и управление конечными точками — это важнейшие задачи. Некоторые организации оценивают риск и устраняют его с помощью списка разрешенных приложений, в то время как другие предпочитают более либеральный подход. Однако быстро становится необходимость обеспечения безопасности данных на уровне веб-контента » , — заявил Брэндон Тарбет , директор по ИТ и безопасности в Menlo Security.

« Эта потребность подчёркивается тем, как поставщики персональных VPN позиционируют и продвигают предполагаемые преимущества безопасности своих продуктов » , — предупредил Тарбет. « Существует реальная потребность в защите данных на уровне контента, и рынок хочет быть уверенным в своём подключении к веб-сайтам и сервисам. Ключевым моментом является переход от концепции безопасности, основанной на периметре (например, с помощью VPN), к защите на уровне контента, которая работает даже при нарушении традиционной видимости », — призвал он.