Исследователи провели анализ наиболее популярных VPN, сосредоточив внимание на ста самых скачиваемых приложениях и выделив три группы взаимосвязанных приложений на основе общих библиотек, инфраструктуры и бизнес-деталей. Эти группы приложений имеют общие элементы, что позволяет уязвимостям распространяться на несколько брендов.
Группа A: Недостатки безопасности и бизнес-связи
К первой группе было отнесено восемь приложений, связанных с компаниями Innovative Connecting, Autumn Breeze и Lemon Clove. В этих приложениях были выявлены существенные уязвимости безопасности, такие как заданный по умолчанию ключ Shadowsocks, который позволяет расшифровывать пользовательский трафик, а также нерассказанный сбор данных о местоположении пользователей с использованием исходного кода ip-api.com.
Технологический проект прозрачности связал три из этих провайдеров с китайской кибербезопасной компанией Qihoo 360. Это открытие вызывает беспокойство по поводу конфиденциальности данных пользователей.
Группа B: Общие серверы и проблемы с Shadowsocks
Шесть провайдеров во второй группе, включая Global VPN, XY VPN и Super Z VPN, использовали общие VPN-серверы и также использовали заданные по умолчанию пароли Shadowsocks. Исследователи предупреждают, что Shadowsocks изначально не предназначен для анонимности, его основная цель — обход китайской интернет-цензуры.
Группа C: Уязвимость к атакам "вслепую"
Последняя группа, состоящая из таких VPN, как Fast Potato VPN и X-VPN, имела уязвимости, включая подверженность атакам "вслепую", при которых атакующие могут манипулировать трафиком на той же сети.
Отчет отмечает, что провайдеры могут запускать несколько брендов VPN, чтобы избежать репутационного ущерба и делить код для экономии средств. Множество VPN приложений обманчивы или небезопасны, позволяя операторам серверов или тем, кто может реверс-инжинирить пароли приложения, читать трафик.
Для пользователей таких приложений это создаёт значительные риски. Операторы магазинов приложений отмечают, что выявление взаимосвязанных провайдеров в массовом порядке занимает много времени, а исследователи советуют пользователям изучать безопасность приобретаемых продуктов и выбирать проверенных поставщиков VPN.
