Пoдaвляющaя чaсть сервисов, предоставляющих услуги подключения к виртуальной частной сети (VPN), уязвима к перехвату и утечкам данных, встраиванию "плохого" кода во входящий интернет-трафик и другим атакам. Как выяснили эксперты, проанализировав приложения почти 300 поставщиков VPN-услуг, требованиям безопасности отвечают лишь немногие из них.
Оказалось, что 18% VPN-сервисов вообще на шифрует трафик, делая смартфон уязвимым к атакам типа "человек посередине", 84% — допускают утечку трафика, передающегося по самому современному интернет-протоколу IPv6, а 38% — содержат код, который антивирусная служба Google VirusTotal классифицирует как вредоносный. Более того, четыре из 283 рассмотренных Android-приложений устанавливали цифровые сертификаты, позволяющие им перехватывать и расшифровывать TSL-трафик.
Доклад подготовили эксперты из Государственного объединения научных и прикладных исследований (CSIRO) Австралии, Университета Южного Уэльса и Калифорнийского университета в Беркли (США). "Наши результаты показывают, что миллионы пользователей — несмотря на даваемые большинством VPN-приложений обещания обеспечить конфиденциальность, безопасность и анонимность — могут быть не осведомлены о слабых гарантиях безопасности и практиках злоупотреблений", — написали авторы.
В качестве одного из самых защищенных VPN-сервисов был назван Freedome VPN от финской компании F-Secure. Эта программа, сказали эксперты, держит обещания, шифруя интернет-трафик и блокируя рекламные веб-жучки (включая Google Ads, DoubleClick и comScore). Лицензия на Freedome VPN для 3-х устройств (помимо Android, программу можно запустить на Windows, macOS и iOS) продается за $50 в год.
Источник: Ars Technica