Większość aplikacji VPN na Androida nadaje się tylko na śmietnik

Analizę w tym temacie przeprowadziło pięciu badaczy z różnych zakątków świata, którzy wykazali, że z 283 VPN-ów – aplikacji dla systemu Android do ukrywania swojej lokalizacji oraz omijania restrykcji sieciowych nałożonych przez dostawców internetu lub rządy państw:

• aż 19% w ogóle nie szyfruje ruchu,
• 38% zawiera ślady złośliwego oprogramowania zidentyfikowanego przez VirusTotal (badacze dokonali skanowania zasobów aplikacji z wykorzystaniem API VirusTotal),
• 18% nie informuje użytkownika (i nie pozwala na wybór kraju), że węzeł wyjściowy serwera VPN zlokalizowany jest w USA,
• 4% tworzy lokalne proxy na telefonie w celu przechwytywania oraz analizowania ruchu,
• 18% VPN-ów posiada wdrożony protokół tunelowania, ale bez szyfrowania (pomimo zapewnienia „anonimowości i bezpieczeństwa on-line” ze strony deweloperów aplikacji),
• 16% posiada funkcje modyfikowania ruchu HTTP. Badacze zdołali zidentyfikować dwie aplikacji VPN, które wstrzykiwały kod JavaScript wyświetlając reklamy od partnerów producenta (WiFi Protector VPN i HotspotShield VPN),
• 66% nie przekazuje ruchu DNS przez tunel VPN, więc każdy może monitorować aktywność sieciową DNS (zapytania DNS). Badacze wskazują m.in. na programy HideMyAss i VPNSecure, które zagrażają bezpieczeństwu i anonimowości,
• pomimo, że 67% sprawdzonych aplikacji VPN oferuje usługi zwiększające prywatność i bezpieczeństwo, to ¾ z nich instaluje śledzące biblioteki, a 85% bezpodstawnie żąda dostępu do wiadomości tekstowych,
• Dwie aplikacje: F-Secure Freedome oraz Secure Wireless oferują w cenie blokowanie reklam oraz śledzących trackerów.

Analiza pokazuje, że pomimo obietnic dotyczących prywatności i bezpieczeństwa, większość aplikacji VPN dla systemu Android może nieświadomie narażać użytkowników na utratę zapewnień dotyczących anonimowości. Nieuczciwe praktyki mogą być także stosowane świadomie przez nieuczciwych dostawców usług VPN.