Опасные связи: какие VPN-приложения угрожают пользователям

VPN — популярный интернет-инструмент, включая страны с цензурой. Но некоторые сервисы скорее представляют угрозу для пользователей, показало исследование независимой организации Open Tech­nol­o­gy Fund.

Мобильный телефон с заставкой VPN-сервиса. Фото: Rafael Henrique/ZUMAPRESS/picture alliance

VPN (Vir­tu­al Pri­vate Net­work) — уже давно не нишевый инструмент в интернете. С помощью VPN можно скрыть свой IP-адрес и зашифровать трафик, и в 2025 году, по оценкам, до двух миллиардов человек регулярно пользовались услугами VPN-провайдеров: кто-то для обхода геоблокировок, кто-то, как жители стран с цензурой, для доступа к независимым СМИ или к Youtube c месседжерами.

Те, кто пользуется VPN в таких странах, как Иран, Китай или РФ, рассчитывают на то, что провайдер, получив личные данные пользователя, будет конфиденциально обращаться с ними. Но можно ли доверять тем, кто обещает анонимность и обход блокировок? Объемное исследование организации Open Tech­nol­o­gy Fund, независимой некоммерческой структуры, выступающей за глобальную интернет-свободу, выявило ряд вызывающих тревогу недостатков у нескольких крупных VPN-провайдеров.

Когда интернет-следы уходят в Китай

Список проблем начинается с непрозрачных структур собственности у нескольких провайдеров. «Многие VPN-сервисы скрывают настоящих владельцев за сложными корпоративными конструкциями», — отмечается в исследовании. Так, например, компании Inno­v­a­tive Con­nect­ing PTE, Autumn Breeze PTE и Lemon Clove PTE утверждают, что зарегистрированы в Сингапуре. На самом деле ими управляют граждане КНР прямо из Китая, и поэтому они подпадают под китайские законы об информационном контроле. Многие VPN создают фиктивные фирмы в странах с недостаточно строгими законами о хранении данных, говорится в похожем исследовании британской компании по защите прав клиентов Com­par­itech.

Як уласнымі рукамі стварыць VPN-сервер, які цяжка будзе заблакаваць — падрабязны гайд

8 провайдеров и 16 VPN-сервисов «крайне проблематичны»

Проблема еще в том, что значительное число доступных пользователям VPN-сервисов фактически разрабатываются одними и теми же компаниями, просто оказываются на рынке под разными логотипами. «Небольшое число фирм с помощью тактики white label контролирует непропорционально большую часть рынка VPN», — говорится в исследовании. White label — дословно, «белая этикетка», обозначает коммерческую практику, когда разработчик создает сервис, другие компании покупают его, выпуская под своими названиями, а покупатель, как правило, не знает исходного разработчика.

Всего авторы исследования охарактеризовали восемь VPN-провайдеров как «крайне проблематичные». Эти восемь компаний скрывают связи между собой, присутствуя на рынке и выпустив 16 различных VPN-приложений, которые суммарно загрузили более 700 миллионов (!) пользователей в Google Play Store. Приложения, распространяемые этими провайдерами, имеют проблемы с безопасностью и защитой данных, из-за чего пользователи подвергаются риску слежки, говорится в исследовании Open Tech­nol­o­gy Fund.

Среди приложений, которые названы «чрезвычайно тревожными», — Tur­bo VPN, VPN Proxy Mas­ter, XY VPN и 3X VPN, каждое из которых было загружено в Google Play Store более 100 миллионов раз. Сотни миллионов интернет-пользователей пребывают в иллюзии безопасности, которой на самом деле нет, делают вывод авторы доклада.

«Провайдеры используют так называемый туннельный протокол Shad­ow­socks (зашифрованный протокол передачи данных. — Ред.), который не предназначен для обеспечения конфиденциальности, и утверждают, что соединения их пользователей безопасны», — указывают авторы доклада.

Заранее заданные пароли — риск для безопасности

Проблема протокола шифрования Shad­ow­socks в том, что в нем заранее прописаны и сохранены внутри приложений пароли, это значительная уязвимость, говорится в исследовании, — злоумышленники могут найти эти пароли и таким образом расшифровать и перехватить всю коммуникацию. Другая причина для беспокойства — многие провайдеры используют арендуемые серверы в дата-центрах, не имея полного контроля над оборудованием. Наконец, часть VPN-приложений тайно собирают данные о местоположении пользователей, несмотря на противоположные заявления в их политике конфиденциальности.

К сожалению, VPN-сервисы могут создавать ложное чувство безопасности, а в худшем случае — подрывать приватность и угрожать безопасности своих пользователей, приходят к выводу авторы исследования. Особый риск они видят в использовании услуг компаний Inno­v­a­tive Con­nect­ing, Autumn Breeze, Lemon Clove, Matrix Mobile, For­eRaya Tech­nolo­gies, Wild­look Tech, Hong Kong Silence Tech­nol­o­gy и Yolo Mobile Tech­nol­o­gy Lim­it­ed.

В своих рекомендациях авторы предлагают использовать платные VPN, которые не дают оснований сомневаться в их надежности, — значимых проблем с безопасностью не было выявлено, например, у таких провайдеров, как Lantern, Psiphon, Pro­ton­VPN или Mul­l­vad.

Почему белорусам стоит использовать VPN и как его правильно выбрать

Противоречие бесплатных VPN-услуг

Один из авторов исследования, Бенджамин Миксон-Бака, назвал опубликованные данные «катастрофой для приватности и безопасности». «Пользователи живут в иллюзии безопасности, тогда как власти могут видеть все, что они делают», — добавил Миксон-Бака. Учитывая, что компании сознательно скрывают свою настоящую принадлежность и при этом, несмотря на обещания, собирают географические данные, речь идет «о грубом нарушении доверия пользователей».

Для гарантии безопасности следует отдавать предпочтение VPN-провайдерам, которые обеспечивают полную прозрачность в вопросах собственности, инфраструктуры и юрисдикции, рекомендуют авторы исследования. Открытый исходный код и независимые аудиты названы ключевыми признаками качества таких сервисов. 

Исследование тем самым подтвердило известный тезис, что бесплатные VPN-услуги несут больший риск, чем платные. В подобных услугах заложено фундаментальное противоречие, объясняет Миксон-Бака:

«Защита данных и безопасность — то, что пользователи ожидают получить, — находятся в прямом конфликте с необходимостью сервисов жить за счет рекламы и желанием зарабатывать деньги. Наше и другие исследования показывают, что сочетание приватности с рекламной моделью никогда не заканчивается хорошо».