Stara prawda, że jeśli coś jest za darmo, to nie jesteś klientem – jesteś produktem – znajduje swoje potwierdzenie w przypadku aplikacji VPN. Serwis top10vpn.com przetestował 150 najpopularniejszych aplikacji VPN na Androida (jest tyle!), łącznie zainstalowanych 260 milionów razy.
W czasie testów, co piąta z nich została oflagowana przez VirusTotal jako potencjalne źródło malware, a 25% wszystkich przetestowanych aplikacji zawiera błędy mogące zaszkodzić prywatności użytkowników. 85% wszystkich testowanych aplikacji domagało się uprawnień, które są zbędne do zapewnienia usługi, 66% wszystkich aplikacji domagało się uprawnień opisanych w dokumentacji Androida jako „groźne”.
Błędy? Jakie błędy?
Najpowszechniej występującym błędem w zabezpieczeniu prywatności użytkowników jest „DNS leak”. W momencie gdy nasze urządzenie łączy się ze zdalnym serwerem po raz pierwszy od jakiegoś czasu, do serwerów DNS wysyłane jest zapytanie o adres IP przypisany do konkretnej domeny. Część aplikacji VPN nie wymusza korzystnia z bezpiecznych (niezależnych od naszego dostawcy internetu) serwerów DNS, przez co zapytania trafiają do domyślnego serwera DNS. W dużym skrócie oznacza to, że cały ruch z naszego urządzenia jest szyfrowany – ale nasz dostawca internetu i tak wie, z jakimi serwerami się łączymy, bo właśnie jego DNSy odpowiadają na nasze zapytania.
Kilka aplikacji nie chroni użytkowników przed „WebRTC leakiem”. WebRTC to rozwiązanie umożliwiające łatwe implementowanie transmisji audio/video w czasie rzeczywistym przy użyciu przeglądarki między poszczególnymi użytkownikami usługi. Czyli – w dużym skrócie – rozmowy online bez konieczności instalowania dodatkowych modułów, programów itp. Kłopot polega na tym, że część przeglądarek korzystających z WebRTC odpowiada szczerze na zdalne zapytanie o adres IP. Może to zostać wyłączone w konfiguracji przeglądarki, zapytanie może też być przechwycone na poziomie VPNa.
Ciekawym problemem występującym w części darmowych aplikacji są reklamy. Niby wszystko zrozumiałe – z czegoś te usługi muszą się utrzymać. Ale niektóre aplikacje żądają dostępu do naszej dokładnej lokalizacji w celu geograficznego profilowania reklam. Krótko mówiąc – domagamy się prywatności, ukrycia informacji skąd się łączymy, i jednocześnie przekazujemy reklamodawcom nasz dokładny adres. Kod odpowiedzialny za sprawdzanie lokalizacji telefonu znaleziono w 1/4 badanych aplikacji.
Inne rzeczy, o dostęp do których aplikacje mogły poprosić, to dostęp do szczegółowych danych o urządzeniu (1/4 aplikacji), dostęp do kamery i mikrofonu, wysyłanie SMS oraz dostęp do książki kontaktów.
Część z tych uprawnień to prawdopodobnie wynik zastosowania bibliotek domagających się szerokiego zbioru praw do poprawnego działania, otwarte zostaje pytanie – jak często konkretne aplikacje z tych dodatkowych uprawnień korzystają.
Tylko dwie aplikacje (VPN super free oraz Super Fast Hot VPN) bezpośrednio zdradzały adres IP użytkownika.
Dokładny opis potencjalnych problemów z najpopularniejszymi aplikacjami znajdziesz na stronie top10vpn.
Rekomendacja?
Jeśli musisz korzystać z darmowego VPNa, korzystaj z tego, co do którego jest najmniej wątpliwości. Jeśli chodzi o rozwiązania płatne, od lat korzystam z PrivateInternetAccess.com – sprawdzony w wielu bardziej i mniej rozwiniętych państwach, nie zawiódł ani razu. Jeśli chcesz kupić i dostać bonusowe 30 dni za darmo, skorzystaj z mojego referral linku – klikając tutaj – wtedy dodasz dodatkowe 30 dni również do mojego konta. Jeśli nie chcesz korzystać z polecanek, możesz kupić u nich abonament bez bonusów wchodząc bezpośrednio na ich stronę.) Z kolei na stronie ThatOnePrivacySite możesz znaleźć sporą tabelę porównującą rozmaite rozwiązania VPN.