Пробои в безопасности и китайские следы. Что скрывают популярные VPN-приложения

IT-индустрия

3 сентября 2025, 20:00

Специалисты при Университете Торонто исследовали 21 популярное VPN-приложение — в Google Play их суммарно загрузили почти миллиард раз. Из них некоторые программы имеют подозрительно похожие кодовые базы, а их разработчики тайно связаны с Китаем.

Исследование провела «Гражданская лаборатория« (Citizen Lab), действующая при канадском вузе. Авторы итоговой статьи — Джеффри Нокель из самой лаборатории, а также Бенджамин Миксон-Бака и Джедидая Крендалл из Университета штата Аризона.

Какие VPN-приложения были исследованы

Команда отобрала 100 самых популярных VPN-сервисов по данным агрегаторов SensorTower и AppMagic. После этого сузила выборку до 50 приложений — от поставщиков, которые базировались вне США. Из них было выделено 13 потенциально мошеннических и связанных между собой провайдеров. Их разделили на три «семьи».

Подпишитесь на NV Премиум и читайте без ограничений

Нам необходима ваша поддержка, чтобы заниматься качественной журналистикой

Первый месяц 1 ₴. Отписаться можно в любой момент

В семье «А «- провайдеры таких приложений как:

  • Turbo VPN, Turbo VPN Lite и VPN Monster (Innovative Connecting);
  • VPN Proxy Master и VPN Proxy Master — Lite (Lemon Clove);
  • Snap VPN, Robot VPN и SuperNet VPN (Autumn Breeze).

В семье «B «- провайдеры таких приложений как:

  • Global VPN и XY VPN (MATRIX MOBILE PTE LTD),
  • Super Z VPN (Super Z VPN Privacy & Proxy),
  • Touch VPN-Stable & Secure (The Tool Tech),
  • VPN ProMaster-Secure your net и 3X VPN — Smooth Browsing (Fruit Security Studios)
  • VPN Inf, Melon VPN — Secure Proxy VPN (WILDLOOK TECH PTE. LTD).

В семье «C «- провайдеры таких приложений как:

  • X-VPN (FreeConnectedLimited);
  • Fast Potato VPN (Fast Potato ptd ltd);

В отдельной группе «Другие»:

  • Tetra VPN (Miczon LLC), VPN — Super Unlimited Proxy (Super VPN Inc);
  • Secure VPN Safer Internet (Secure Signal Inc).
Таблица проанализированных VPN-приложений в статье Citizen Lab / Фото: скриншот NV

Как происходило исследование

Чтобы выяснить, кто на самом деле стоит за VPN-сервисами, исследователи сначала изучили их страницы в Google Play. Там они собрали имена разработчиков, указанные адреса, ссылки на сайты и политики конфиденциальности. После чего — загрузили APK-файлы приложений и распаковали их на отдельном устройстве для анализа.

Соцсети оказались малоплодотворным направлением. У VPN-сервисов были страницы на Facebook, Instagram, Telegram или YouTube, но они не содержали ничего, что позволило бы установить связи или разоблачить настоящих владельцев. Не помогли и доменные записи: WHOIS и DNS-данные оказались скрытыми за посредническими компаниями, которые специально занимаются анонимизацией.

А вот проверка бизнес-отчетности поставщиков дала результат. Имена компаний исследователи ввели в базу OpenCorporates — международный реестр юридических лиц, который собирает налоговые и авторские записи из разных стран. Найденные документы были проверены путем сравнения адресов из регистрационных файлов с теми, что были указаны на сайтах. Именно здесь и сказалось ключевое несоответствие.

10 провайдеров, которые якобы работали из Сингапура, на самом деле имели регистрационные адреса в Китае. Другие 3 компании вообще не указаны в реестрах OpenCorporates.

Больше всего «следов» оставил код самих VPN-приложений. Поиск в строках APK-файлов вывел исследователей на общие библиотеки. Например, сразу несколько приложений — от Innovative Connecting, Autumn Breeze и Lemon Clove (семья «А») — содержали одинаковую библиотеку libopvpnutils.so. Это указывает на то, что под разными названиями провайдеров на самом деле стоит одна и та же команда разработчиков.

Как пишет Mashable, исследование выявило и серьезные проблемы с безопасностью VPN-приложений. Некоторые из них повторно использовали учетные данные для входа в ShadowSocks — инструмент для обхода брандмауэров. Другие полагались на устаревшие алгоритмы шифрования, что делает пользователей уязвимыми к взлому. Более того, все три «семьи» VPN были уязвимы к «blind in/on-path атакам» — то есть хакеры в одной сети, например публичный Wi-Fi, могли незаметно перехватывать трафик.

Угрозы VPN-приложений

В выводах статьи исследователи оставили несколько вопросов открытыми. К примеру, зачем одна компания разделила свою аудиторию между несколькими брендами VPN-приложений — по мнению специалистов, это позволяет ограничить репутационные потери в случае проблем с одним из сервисов. Также возникает вопрос, почему один разработчик распределил пользователей между разными сервисами с одинаковым кодом. Вероятное объяснение — экономия ресурсов: проще и дешевле создать одну базовую программу и выпустить ее под разными названиями, чем поддерживать несколько независимых продуктов.

Исследователей Citizen Lab удивляет и наличие устаревших алгоритмов шифрования в программах, позиционируемых как инструменты киберзащиты. Особенно учитывая то, что многие из них принадлежат Qihoo 360 — крупной китайской компании в сфере кибербезопасности.

Авторы отмечают, что магазины приложений, например Google Play, оказались в затруднительной ситуации: ежедневно отслеживать разработчиков и выявлять мошенническое ПО проблематично. Так, Google уже предлагает значок «Проверено» для VPN-приложений — он свидетельствует, что разработчики придерживаются правил безопасности Play и прошли проверку 2-го уровня с помощью «Оценки безопасности мобильных приложений» (MASA). Однако наличие «бейджа безопасности» пока не обязательно.

Veryfied значок в Google Play / Фото: Google

Процесс проверки приложений тоже до конца не отточен, отмечает Mashable. Для ее прохождения разработчики должны сообщить Google, содержит ли их приложение рекламу, получить рейтинг содержания и поделиться информацией о политике конфиденциальности и безопасности программы. Также для получения значка «Проверено» VPN-сервис должен иметь не менее 10 тыс. установок и 250 отзывов и быть в Google Play не менее 90 дней, пишет TechCrunch.

В заявлении для Mashable представитель Google сообщил, что компания стремится «соблюдать действующие санкции и законы о соблюдении торговых норм». «Когда мы обнаруживаем учетные записи, которые могут нарушать эти законы, наши связанные политики или Условия предоставления услуг, мы принимаем соответствующие меры».

Как решить проблему

По мнению Citizen Lab, действующая система с VPN-сервисами могла бы стать более эффективной, если бы «значок безопасности» сделали обязательным. Исследователи также предлагают вариант отдельного «бейджа верификации разработчика», который предоставлялся бы тем, кто прошел процедуру подтверждения личности. Это дало бы пользователям больше информации и защиты, а Google смогла бы уменьшить риск репутационных потерь, связанных с распространением опасных или обманчивых программ.

В то же время исследователи предостерегают: любое ужесточение требований к верификации должно учитывать право разработчиков анонимно распространять программы. Особенно это актуально в сфере обхода цензуры, где авторы могут подвергаться юридическим рискам или даже преследованию со стороны государств. Впрочем, важно разделять анонимность и откровенную дезинформацию о владельцах программ, в частности VPN-приложений.

Пользователям, которые ценят приватность, Citizen Lab советует избегать использования сервисов на базе Shadowsocks, поскольку этот протокол создавался для обхода цензуры, а не для защиты данных. VPN-провайдеры же должны либо отказаться от предложения Shadowsocks, либо четко объяснять пользователям все риски.

Другие новости

Все новости