Пробої в безпеці й китайські сліди. Що приховують популярні VPN-застосунки

IT-індустрія

3 вересня 2025, 20:00

Фахівці при Університеті Торонто дослідили 21 популярний VPN-застосунок — у Google Play їх сумарно завантажили майже мільярд разів. З них деякі програми мають підозріло схожі кодові бази, а їхні розробники таємно пов’язані з Китаєм.

Дослідження провела «Громадянська лабораторія» (Citizen Lab), що діє при канадському виші. Автори підсумкової статті — Джеффрі Нокель із самої лабораторії, а також Бенджамін Міксон-Бака та Джедідая Крендалл з Університету штату Аризона.

Які VPN-застосунки були досліджені

Команда відібрала 100 найпопулярніших VPN-сервісів за даними агрегаторів SensorTower та AppMagic. Після цього звузила вибірку до 50 додатків — від постачальників, які базувалися поза США. З них було виокремлено 13 потенційно шахрайських та пов’язаних між собою провайдерів. Їх розділили на три «родини».

Передплатіть NV Преміум та читайте без обмежень

Нам необхідна ваша підтримка, щоб займатися якісною журналістикою

Перший місяць 1 ₴. Відмовитися від передплати можна у будь-який момент

У родині «А» — провайдери таких застосунків як:

  • Turbo VPN, Turbo VPN Lite і VPN Monster (Innovative Connecting);
  • VPN Proxy Master і VPN Proxy Master — Lite (Lemon Clove);
  • Snap VPN, Robot VPN і SuperNet VPN (Autumn Breeze).

У родині «B» — провайдери таких застосунків як:

  • Global VPN та XY VPN (MATRIX MOBILE PTE LTD),
  • Super Z VPN (Super Z VPN Privacy & Proxy),
  • Touch VPN-Stable & Secure (The Tool Tech),
  • VPN ProMaster-Secure your net і 3X VPN — Smooth Browsing (Fruit Security Studios)
  • VPN Inf, Melon VPN — Secure Proxy VPN (WILDLOOK TECH PTE. LTD).

У родині «C» — провайдери таких застосунків як:

  • X-VPN (FreeConnectedLimited);
  • Fast Potato VPN (Fast Potato ptd ltd);

В окремій групі «Інші»:

  • Tetra VPN (Miczon LLC), VPN — Super Unlimited Proxy (Super VPN Inc);
  • Secure VPN Safer Internet (Secure Signal Inc).
Таблиця проаналізованих VPN-застосунків у статті Citizen Lab / Фото: скриншот NV

Як відбувалося дослідження

Щоб з’ясувати, хто насправді стоїть за VPN-сервісами, дослідники спершу вивчили їхні сторінки у Google Play. Там вони зібрали імена розробників, вказані адреси, посилання на сайти й політики конфіденційності. Після чого — завантажили APK-файли застосунків та розпакували їх на окремому пристрої для аналізу.

Соцмережі виявилися малоплідним напрямком. У VPN-сервісів були сторінки на Facebook, Instagram, Telegram чи YouTube, але вони не містили нічого, що дозволило б встановити зв’язки чи викрити справжніх власників. Не допомогли й доменні записи: WHOIS та DNS-дані виявилися прихованими за посередницькими компаніями, які спеціально займаються анонімізацією.

А ось перевірка бізнес-звітності постачальників дала результат. Імена компаній дослідники ввели в базу OpenCorporates — міжнародний реєстр юридичних осіб, який збирає податкові та авторські записи з різних країн. Знайдені документи були перевірені шляхом порівняння адрес із реєстраційних файлів із тими, що були вказані на сайтах. Саме тут і далася взнаки ключова невідповідність.

10 провайдерів, які нібито працювали із Сінгапуру, насправді мали реєстраційні адреси в Китаї. Інші 3 компанії взагалі не зазначені в реєстрах OpenCorporates.

Найбільше «слідів» лишив код самих VPN-застосунків. Пошук у рядках APK-файлів вивів дослідників на спільні бібліотеки. Наприклад, одразу кілька застосунків — від Innovative Connecting, Autumn Breeze та Lemon Clove (родина «А») — містили однакову бібліотеку libopvpnutils.so. Це вказує на те, що під різними назвами провайдерів насправді стоїть та сама команда розробників.

Як пише Mashable, дослідження виявило й серйозні проблеми з безпекою VPN-застосунків. Деякі з них повторно використовували облікові дані для входу в ShadowSocks — інструмент для обходу брандмауерів. Інші покладалися на застарілі алгоритми шифрування, що робить користувачів вразливими до зламу. Ба більше, всі три «родини» VPN були вразливими до «blind in/on-path атак» — тобто хакери в одній мережі, як-от публічний Wi-Fi, могли непомітно перехоплювати трафік.

Загрози VPN-застосунків

У висновках статті дослідники залишили кілька питань відкритими. Приміром, навіщо одна компанія розділила свою аудиторію між кількома брендами VPN-застосунками — на думку фахівців, це дає змогу обмежити репутаційні втрати у разі проблем з одним із сервісів. Також виникає питання, чому один розробник розподілив користувачів між різними сервісами з однаковим кодом. Імовірне пояснення — економія ресурсів: простіше і дешевше створити одну базову програму й випустити її під різними назвами, ніж підтримувати кілька незалежних продуктів.

Дослідників Citizen Lab дивує й наявність застарілих алгоритмів шифрування в програмах, що позиціонуються як інструменти кіберзахисту. Особливо з огляду на те, що чимало з них належать Qihoo 360 — великій китайській компанії у сфері кібербезпеки.

Автори зазначають, що крамниці застосунків, як-от Google Play, опинилися в скрутній ситуації: щоденно відстежувати розробників та виявляти шахрайське ПЗ проблематично. Так, Google уже пропонує значок «Перевірено» для VPN-застосунків — він засвідчує, що розробники дотримуються правил безпеки Play і пройшли перевірку 2-го рівня за допомогою «Оцінки безпеки мобільних додатків» (MASA). Проте наявність «бейджа безпеки» поки що не обов’язкова.

Значок Veryfied у Google Play / Фото: Google

Процес перевірки застосунків теж до кінця не відточений, зауважує Mashable. Для її проходження розробники мають повідомити Google, чи містить їхній додаток рекламу, отримати рейтинг вмісту та поділитися інформацією про політику конфіденційності та безпеки програми. Також для отримання значка «Перевірено» VPN-сервіс повинен мати щонайменше 10 тис. встановлень та 250 відгуків та бути в Google Play щонайменше 90 днів, пише TechCrunch.

У заяві для Mashable речник Google повідомив, що компанія прагне «дотримуватися чинних санкцій та законів про дотримання торговельних норм». «Коли ми виявляємо облікові записи, які можуть порушувати ці закони, наші пов’язані політики або Умови надання послуг, ми вживаємо відповідних заходів».

Як вирішити проблему

На думку Citizen Lab, чинна система з VPN-сервісами могла б стати ефективнішою, якби «значок безпеки» зробили обов’язковим. Дослідники також пропонують варіант окремого «бейджу верифікації розробника», який надавався б тим, хто пройшов процедуру підтвердження особи. Це дало б користувачам більше інформації та захисту, а Google змогла б зменшити ризик репутаційних втрат, пов’язаних із поширенням небезпечних або оманливих програм.

Водночас дослідники застерігають: будь-яке посилення вимог до верифікації має враховувати право розробників анонімно поширювати програми. Особливо це актуально у сфері обходу цензури, де автори можуть наражатися на юридичні ризики або навіть переслідування з боку держав. Утім, важливо розділяти анонімність і відверту дезінформацію щодо власників програм, зокрема VPN-застосунків.

Користувачам, які цінують приватність, Citizen Lab радить уникати використання сервісів на базі Shadowsocks, оскільки цей протокол створювався для обходу цензури, а не для захисту даних. VPN-провайдери ж повинні або відмовитися від пропозиції Shadowsocks, або чітко пояснювати користувачам усі ризики.

Інші новини

Всі новини