Кто на самом деле стоит за бесплатными VPN?

Когда человек решает установить на своё устройство VPN какой-либо компании, он, по сути, решает доверять свои данные этой компании вместо своего провайдера проводного или беспроводного соединения. Провайдер VPN может изучать ваш трафик, изменять его, вести записи, и, если позволяют правила, отправлять его куда-то ещё. Учитывая потенциал возможного злоупотребления данными, критически важно, чтобы пользователь с умом выбирал себе VPN.

Мы изучили самые популярные приложения VPN в App Store и Google Play Store. Мы обнаружили, что лишь малая доля этих безумно популярных приложений делает хоть что-то, чтобы заслужить доверие людей, пытающихся защитить свою приватность, находясь в онлайне.

Исследование

Мы изучили 20 самых популярных бесплатных приложений, выпадающих в списке по запросу VPN в App и Play Store для Британии и США. В целом в месяц их скачивают по 80 млн раз у Google и по 4 млн раз у Apple. Полностью наша методология и список всех изученных VPN можно найти в подробном отчёте.

Мы обнаружили нечто противоположное высоким стандартам, поддержку которых в приложениях, распространяемых Google и Apple, и находящихся в такой чувствительной категории, мог бы ожидать пользователь. Большая часть приложений происходит от неизвестных и весьма засекреченных компаний, прилагающих все усилия к тому, чтобы скрыть информацию о себе от пользователей.

Эти VPN-приложения были скачаны десятки миллионов раз с крупнейших магазинов приложений, однако они практически не дают пользователю никакой информации о компаниях, стоящих за ними, и о том, что они делают с огромным потоком чувствительного трафика, проходящего через их сервера ежедневно.

Наше исследование обнаружило, что более половины наиболее популярных бесплатных VPN-приложений либо принадлежат китайцам, либо напрямую располагаются в Китае – стране, которая агрессивно подавляет у себя VPN-сервисы в последние годы и железной рукой сдерживает интернет в своих границах. Кроме того, мы обнаружили, что у большей части этих приложений не хватает формально прописанной защиты личной информации и отсутствует поддержка пользователей.

Принадлежность сервисов и их присутствие в вебе

59% изученных приложений либо принадлежат китайцам, либо напрямую располагаются в Китае, несмотря на то, что в этой стране строго запрещены VPN и практикуется слежка за интернет-трафиком. Это поднимает вопросы о том, почему этим компаниям – с крупными базами пользователей по всему миру – разрешают продолжать работать.

Китайские VPN скачивают пользователи из США, Британии, Латинской Америки, Ближнего Востока и Канады. Владельцы трёх из них TurboVPN, ProxyMaster и SnapVPN оказались связанными друг с другом компаниями. В политике конфиденциальности они отмечают: «Наш бизнес может потребовать от нас передачу ваших личных данных в страны, расположенные за пределами Еврозоны (EEA), включая и такие страны, как Китайская народная республика или Сингапур».

Одно из предложений, VPN Patron, принадлежит гонконгской компании IST Media, рекламирующей себя в Китае, как компанию, занимающуюся мобильной рекламой и монетизирующей интернет-поведение пользователей.

Учитывая то, какие усилия были приложены этими компаниями к тому, чтобы скрыть информацию об их владельцах, часто довольно сложно раскопать, кто именно стоит за приложениями, тем более, обычному пользователю.

У 64% из этих провайдеров нет специального сайта или наличия в вебе, а более половины из перечисленных емейлов представляют собой личные учётные записи в доменах типа Gmail или Yahoo. Более 80% наших запросов на поддержку остались без ответа.

Несмотря на такую непрозрачность, эти компании смогли внушить доверие плохо информированным пользователям тем, что их приложения были одобрены администрацией магазинов Apple и Google.

Политики конфиденциальности, отслеживание, запись действий пользователей

Возможно, одной только популярности этих приложений может оказаться достаточно, чтобы убедить большинство пользователей в их надёжности, но тщательное их рассмотрение вскрывает серьёзные проблемы.

Добросовестные VPN-сервисы, будь они бесплатными или работающими по подписке, обычно имеют подробные политики конфиденциальности, описывающие схему их работы и обязывающие их не следить за пользователями и не записывать их трафик.

Однако у многих популярных VPN-приложений нет ничего даже близко напоминающего такие политики, а у многих вообще нет никаких политик. Это подчёркивает наличие неприятной неопределённости касаемо того, что происходит с огромными объёмами пользовательских данных, и заставляет беспокоиться о том, что миллионы пользователей по всему миру дают неизвестным и потенциально враждебным организациям доступ к своему трафику.

Мы обнаружили, что 86% этих приложений используют нестандартные политики конфиденциальности, где вопрос приватности пользователей тщательно обходится или вовсе не освещается. Некоторые из этих приложений получают полный доступ к интернет-трафику пользователей, позволяют себе отслеживать их и отправлять их данные третьим лицам из Китая. Среди собираемых данных о пользователе присутствует список посещённых веб-сайтов, IP-адрес (включая местоположение пользователя), время, длительность просмотра сайтов, идентификаторы устройств, емейл-адреса и прочее.

Среди распространённых проблем в политиках конфиденциальности встречается:

1. Отслеживание действий пользователя.
2. Отправка сведений о его поведении третьим лицам.
3. Отсутствие важных деталей, касающихся политик отслеживания.
4. Обобщённые тексты политик, не относящиеся к специфике VPN.
5. Заявленная передача данных третьим лицам из Китая.
6. Отсутствие политики.

Более половины (55%) политик выглядят работой любителей – например, они расположены на бесплатных сайтах Wordpress с рекламой или в виде текстовых файлов на анонимных веб-страницах – что заставляет ещё сильнее переживать по поводу законности работы этих компаний.

Что всё это значит?

С точки зрения потребителя, все приложения в официальном магазине отмечены владельцами магазинов Apple или Google, как безопасные и законные. Однако учитывая широту дезинформации и непрозрачности, связанных с этими списками, становится ясно, что в этой категории надзор остаётся минимальным.

Неподозревающие пользователи перенаправляют свой мобильный интернет-трафик через сервера, принадлежащие компаниям, большая часть которых не предоставляет никакой защиты от неправомерного использования данных. Это элементарная халатность со стороны крупнейших техногигантов, отсутствие контроля с их стороны, которое приводит к тому, что миллионы потребителей подвергаются оптовому сбору данных под видом онлайн-защиты.

Также обнаруженные сведения поднимают такие вопросы, как: почему Китай позволяет этим компаниям работать, нарушая его строгие законы, запрещающие использование VPN, и с кем компании делятся этими данными после их получения.

Кроме множества вопросов, возникших после обнаружения такого сильного китайского влияния в этой области, эти открытия требуют, чтобы Apple и Google пояснили потребителям, почему они одобряют приложения компаний, не имеющих веб-присутствия, предлагающих минимальную или обманчивую корпоративную информацию, и обладающих слабыми, а иногда и идущими в разрез с интересами пользователей политиками конфиденциальности.

Позволяя этим непрозрачным, непрофессиональным компаниям размещать потенциально опасные приложения в своих магазинах, Apple и Google демонстрируют неспособность проверить компании, использующие их платформы, и курировать рекламирующиеся там программы. Все демонстрации стремления к контролю над соблюдением приватности не имеют смысла, если за этой потенциально опасной категорией приложений осуществляется так мало надзора.

Вячеслав Голованов, habr.com