The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Анализ запроса ненадлежащих полномочий в VPN-приложениях для Android

05.03.2019 11:08

Издание Thebestvpn, специализирующееся на сравнении различных VPN-провайдеров, провело анализ полномочий, запрашиваемых приложениями для организации работы через VPN, поставляемыми в каталоге Google Play. Исследование показало, что большинство из проверенных Android-приложений запрашивали полномочия, не имеющие отношения к функциональности VPN.

В частности, 50 из 81 протестированных VPN-приложений запрашивали доступ к пользовательским данным. Несмотря на то, что для работы VPN-приложения достаточно полномочий INTERNET и ACCESS_NETWORK_STATE, во многих приложениях запрашивался доступ к следующим API:

  • Чтение и запись на внешние носители: Betternet, Free VPN org, OneVPN, X-VPN, StarVPN, VPN One Click, Yoga VPN, AppVPN, ProXPN, Seed4me VPN, oVPNSpider, Goose VPN, SpyOFF, TouchVPN, SwitchVPN, Trust Zone, McAfee VPN, SurfEasy, Psiphon, TigerVPN, Dash VPN, Hotspot Shield, NordVPN, Hola VPN, SurfShark, VPN Secure, Zoog VPN;
  • Получение сведений о точном местоположении пользователя: Yoga VPN, VPN Unlimited, ProXPN, Seed4me VPN, oVPNSpider, SwitchVPN, Dash VPN, Hola VPN, Zoog VPN;
  • Получение сведений о приблизительном местоположении: (WindScribe, Free VPN org, Yoga VPN, HideMyAss, Avast VPN, AVG VPN, iVPN, ProXPN, oVPNSpider, TouchVPN, SwitchVPN, Kaspersky VPN, Psiphon VPN, Speedify, Dash VPN, Zoog VPN);
  • Загрузка информации о состоянии телефона (телефонный номер, сотовый оператор, статус исходящих вызовов): Avira VPN, Free VPN org, Norton Secure VPN, VPN One Click, Yoga VPN, HideMyAss, AVG VPN, ProXPN, Goose VPN, Touch VPN, McAfee VPN, SurfEasy, Kaspersky VPN, Speedify, Dash VPN, Hotspot Shield, ibVPN, Hola VPN;
  • Возможность изменения системных настроек: Hide.me, Speedify, Yoga VPN;
  • Доступ к системным логам (в том числе к логу звонков): TigerVPN, oVPNSpider;
  • Доступ к пользовательским документам: TigerVPN;
  • Возможность загрузки дампа с состоянием системных сервисов: PureVPN.

По числу опасных полномочий лидирует приложение Yoga VPN (запрос доступа к 6 расширенным API), насчитывающее 5 млн установок. На втором месте proXPN VPN (5). Третье место разделили Hola Free VPN (4), Seed4.Me VPN (4), OvpnSpider (4), SwitchVPN (4) и Zoog VPN (4).

Напомним, что проведённое в 2017 году исследование 283 мобильных приложений с реализаций функций VPN, показало, что в 18% из них не используется шифрование (трафик отправлялся в открытом виде), 84% пропускали IPv6-трафик в обход создаваемого туннеля, 66% напрямую отправляли запросы к DNS, 16% с целью оптимизации модифицировали транзитный HTTP-трафик пользователя (например, для перекодирования изображений), два приложения подставляли свою рекламу в транзитный трафик, одно приложение передавало запросы к интернет-магазинам в партнёрский сервис, четыре приложения устанавливали в систему свои корневые сертификаты для перехвата HTTPS-соединений.

  1. Главная ссылка к новости (https://thebestvpn.com/android...)
  2. OpenNews: Mozilla экспериментирует с добавлением платного VPN в Firefox
  3. OpenNews: Для включения в состав ядра Linux предложен VPN WireGuard
  4. OpenNews: Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8.7 млн пользователей
  5. OpenNews: 20% VPN раскрывают внутренний IP-адрес пользователя через WebRTC
  6. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: vpn, android
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, КО (?), 11:13, 05/03/2019 [ответить] [показать ветку] [···]    [к модератору]
  • +19 +/
    Можно подумать, что это относится к приложениям типа VPN.
    Это они еще фонарики не анализировали. :)
     
     
  • 2.2, Аноним (2), 11:20, 05/03/2019 [^] [ответить]    [к модератору]
  • +2 +/
    Фонарику нужно писать в системные логи: в такое-то фремя фонарик был включен. И возможность отрывать управляющий порт для удалённого включения/отключеия фонарика.
     
     
  • 3.8, Мимокрокодил (?), 12:00, 05/03/2019 [^] [ответить]     [к модератору]
  • +2 +/
    Хрень оказалась все эти разрешения, не говорится в них что для чего и можно испо... весь текст скрыт [показать]
     
     
  • 4.11, DerRoteBaron (ok), 13:07, 05/03/2019 [^] [ответить]     [к модератору]  
  • +3 +/
    В нормальной ситуации в data data package name Но вот экспортировать импорти... весь текст скрыт [показать]
     
  • 2.16, Аноним (16), 13:49, 05/03/2019 [^] [ответить]    [к модератору]  
  • +/
    В андройде фанарик включается только включением модуля камеры.
     
     
  • 3.24, имя (?), 16:23, 05/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Ага, особенно фонарики категории «целиком белый экран».
     
  • 1.3, анон (?), 11:24, 05/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +7 +/
    грустно конечно.
    покупайте за копейки vps-ку, ставьте туда vpn l2tp и везде будете иметь свое теплое, ламповое, универсальное.
     
     
  • 2.13, maks (??), 13:23, 05/03/2019 [^] [ответить]     [к модератору]  
  • +5 +/
    Покупайте какое-то странное слово , ставьте туда хз что вообще, какой-то набор... весь текст скрыт [показать]
     
     
  • 3.15, el (??), 13:43, 05/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    кому надо - те поймут
     
     
  • 4.25, рэмзэн95к (?), 16:37, 05/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    кто не понял тот поймёт
     
     
  • 5.40, Аноним (40), 09:05, 06/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Но не сразу ;)
     
  • 2.18, пох (?), 14:15, 05/03/2019 [^] [ответить]     [к модератору]  
  • –3 +/
    лыко для плетения лаптей - в лесу тоже самому драть тут вон специальный ботино... весь текст скрыт [показать]
     
  • 2.19, Аноним (19), 14:43, 05/03/2019 [^] [ответить]    [к модератору]  
  • +4 +/
    Нежданчик от hideme, однако. Надо отключаться.
     
     
  • 3.21, Begemot (??), 15:20, 05/03/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Я бы сказал подляночка. :(
     
  • 3.27, Аноним (27), 17:50, 05/03/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    А вы куда, простите, смотрели при установке?
     
  • 2.26, SysA (?), 17:44, 05/03/2019 [^] [ответить]    [к модератору]  
  • +/
    A ничего, что многие, если не все, хостеры в договоре прописывают запрет ВПН и проксирования?.. ;)
     
     
  • 3.28, трурль (?), 18:06, 05/03/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Ничего Читайте внимательнее, какое именно проксирование запрещают публичное бе... весь текст скрыт [показать]
     
  • 1.4, бублички (?), 11:34, 05/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    в GooglePlay знаю лишь 2 VPN приложения - OpenVPN Connect и strongSwan VPN Client. остальное всё от лукавого
     
     
  • 2.5, wg0 (?), 11:42, 05/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    А как же wireguard?
     
     
  • 3.6, Мимокрокодил (?), 11:53, 05/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    И tinc.
     
     
  • 4.7, A (?), 11:59, 05/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Cisco AnyConnect?
     
     
  • 5.39, Мимокрокодил (?), 08:45, 06/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Где скачать? На Mi A1 норм запустится?
     
     
  • 6.43, Аноним (43), 12:30, 10/03/2019 [^] [ответить]    [к модератору]  
  • +/
    >>> Где скачать

    Проще всего на внутреннем сайте своего или друга работодателя. В инете найти тоже можно, но гораздо дольше.

     
  • 2.9, iPony (?), 12:44, 05/03/2019 [^] [ответить]    [к модератору]  
  • +/
    ProtonVPN вроде бы как относительно доверяемое
     
     
  • 3.14, Аноним (-), 13:29, 05/03/2019 [^] [ответить]    [к модератору]  
  • +9 +/
    ProtonVPN классная вещь, но на моем старом андроеде 4й версии приходится юзать обычный OpenVPN-клиент с серверами ProtonVPN. А так да, приложение они классное сделали.
     
     
  • 4.20, Аноним (20), 15:17, 05/03/2019 [^] [ответить]    [к модератору]  
  • +5 +/
    Там щас активно тестят поддержку WireGuard.
     
  • 4.29, iPony (?), 18:14, 05/03/2019 [^] [ответить]    [к модератору]  
  • +/
    > приходится юзать обычный OpenVPN-клиент

    Я не выдержал его вида на Windows 10 и iOS. Прям жёстко.
    На Linux и macOS GnomeVPN и Tunnelblick вполне нормальные.

     
  • 4.36, Аноним (36), 23:50, 05/03/2019 [^] [ответить]    [к модератору]  
  • +/
    >приходится

    по-моему юзать клиент, не привязаный к сервису - это единственный разумный выбор в данном случае.

     
  • 3.22, Канделябры (?), 15:37, 05/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Вот вы палите и палите, а загрузка бесплатных серверов всё растёт и растёт. Не рубите сук, так сказать.
     
  • 2.38, EuPhobos (ok), 05:50, 06/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Пользуюсь OpenVPN, с недавнего времени стал просить доступ к местоположению и медиафайлам на устройстве, отключил обновление, ибо и так работает.
     
     
  • 3.41, нонима (?), 10:00, 06/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Попробуй OpenVPN из F-Droid, сильно удивишься, что приложению не требуется никаких разрешений =)
     
  • 1.10, DerRoteBaron (ok), 12:57, 05/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Доступ к носителю понять еще можно. Экспорт конфигураций, импорт сертификатов и всякое такое.
    Если он запрашивается по API23+, конечно
     
  • 1.12, тов. майор (?), 13:20, 05/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Если у вас есть возможность обхода блокировок, это не ваша заслуга, а наша недоработка.
     
     
  • 2.33, Аноним (33), 23:28, 05/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Так делом занимайся , а не по карманам тырь
     
  • 1.17, Максим (??), 13:51, 05/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    > Возможность изменения системных настроек
    > Hide.me

    Вот дeрьмо! Годами юзал этот трeш. Интересно, что он мне там наизменял? В любом случае, через неделю подписка закончится, больше не продлю.

     
  • 1.23, ryoken (ok), 16:11, 05/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Познавательно. OneVPN второпях прочёл как OpenVPN, поудивлялся. Значит, ProtonVPN, говорите..?
     
  • 1.30, Аноним (36), 18:32, 05/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >ZOG VPN

    Ничего удивительного.

     
  • 1.32, Аноним (-), 21:00, 05/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >Kaspersky VPN

    кто этим пользуется и зачем?

     
     
  • 2.34, Аноним (33), 23:32, 05/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Сексоты Касперского
     
  • 1.35, Аноним (35), 23:44, 05/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    UltraSurf и Астриll всех победили?)))
     
  • 1.37, Аноним (37), 02:16, 06/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    OpenVPN для Андроид из FDroid работает не пыхтит никаких лишних прав не требует
     
     
  • 2.42, Аноним (-), 20:21, 06/03/2019 [^] [ответить]    [к модератору]  
  • +/
    + 100500
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor