Masz VPN, jesteś (nie)bezpieczny

Stara prawda, że jeśli coś jest za darmo, to nie jesteś klientem – jesteś produktem – znajduje swoje potwierdzenie w przypadku aplikacji VPN. Serwis top10vpn.com przetestował 150 najpopularniejszych aplikacji VPN na Androida (jest tyle!), łącznie zainstalowanych 260 milionów razy.

W czasie testów, co piąta z nich została oflagowana przez VirusTotal jako potencjalne źródło malware, a 25% wszystkich przetestowanych aplikacji zawiera błędy mogące zaszkodzić prywatności użytkowników. 85% wszystkich testowanych aplikacji domagało się uprawnień, które są zbędne do zapewnienia usługi, 66% wszystkich aplikacji domagało się uprawnień opisanych w dokumentacji Androida jako „groźne”.

Błędy? Jakie błędy?
Najpowszechniej występującym błędem w zabezpieczeniu prywatności użytkowników jest „DNS leak”. W momencie gdy nasze urządzenie łączy się ze zdalnym serwerem po raz pierwszy od jakiegoś czasu, do serwerów DNS wysyłane jest zapytanie o adres IP przypisany do konkretnej domeny. Część aplikacji VPN nie wymusza korzystnia z bezpiecznych (niezależnych od naszego dostawcy internetu) serwerów DNS, przez co zapytania trafiają do domyślnego serwera DNS. W dużym skrócie oznacza to, że cały ruch z naszego urządzenia jest szyfrowany – ale nasz dostawca internetu i tak wie, z jakimi serwerami się łączymy, bo właśnie jego DNSy odpowiadają na nasze zapytania.

Kilka aplikacji nie chroni użytkowników przed „WebRTC leakiem”. WebRTC to rozwiązanie umożliwiające łatwe implementowanie transmisji audio/video w czasie rzeczywistym przy użyciu przeglądarki między poszczególnymi użytkownikami usługi. Czyli – w dużym skrócie – rozmowy online bez konieczności instalowania dodatkowych modułów, programów itp. Kłopot polega na tym, że część przeglądarek korzystających z WebRTC odpowiada szczerze na zdalne zapytanie o adres IP. Może to zostać wyłączone w konfiguracji przeglądarki, zapytanie może też być przechwycone na poziomie VPNa.

Ciekawym problemem występującym w części darmowych aplikacji są reklamy. Niby wszystko zrozumiałe – z czegoś te usługi muszą się utrzymać. Ale niektóre aplikacje żądają dostępu do naszej dokładnej lokalizacji w celu geograficznego profilowania reklam. Krótko mówiąc – domagamy się prywatności, ukrycia informacji skąd się łączymy, i jednocześnie przekazujemy reklamodawcom nasz dokładny adres. Kod odpowiedzialny za sprawdzanie lokalizacji telefonu znaleziono w 1/4 badanych aplikacji.

Inne rzeczy, o dostęp do których aplikacje mogły poprosić, to dostęp do szczegółowych danych o urządzeniu (1/4 aplikacji), dostęp do kamery i mikrofonu, wysyłanie SMS oraz dostęp do książki kontaktów.

Część z tych uprawnień to prawdopodobnie wynik zastosowania bibliotek domagających się szerokiego zbioru praw do poprawnego działania, otwarte zostaje pytanie – jak często konkretne aplikacje z tych dodatkowych uprawnień korzystają.

Tylko dwie aplikacje (VPN super free oraz Super Fast Hot VPN) bezpośrednio zdradzały adres IP użytkownika.

Dokładny opis potencjalnych problemów z najpopularniejszymi aplikacjami znajdziesz na stronie top10vpn.

Rekomendacja?
Jeśli musisz korzystać z darmowego VPNa, korzystaj z tego, co do którego jest najmniej wątpliwości. Jeśli chodzi o rozwiązania płatne, od lat korzystam z PrivateInternetAccess.com – sprawdzony w wielu bardziej i mniej rozwiniętych państwach, nie zawiódł ani razu. Jeśli chcesz kupić i dostać bonusowe 30 dni za darmo, skorzystaj z mojego referral linku – klikając tutaj – wtedy dodasz dodatkowe 30 dni również do mojego konta. Jeśli nie chcesz korzystać z polecanek, możesz kupić u nich abonament bez bonusów wchodząc bezpośrednio na ich stronę.) Z kolei na stronie ThatOnePrivacySite możesz znaleźć sporą tabelę porównującą rozmaite rozwiązania VPN.

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Przez wiele lat zawodowo zajmował się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i rosnącej liczby odcinków podkastu Cyber Cyber. Zawodowo związany z Mediarecovery, gdzie zajmuje się bezpieczeństwem IT i informatyką śledczą.

View all posts by lmj →