Специалисты протестировали 281 наиболее популярных бесплатных VPN-приложений на устройствах под управлением Android 14. Для этого они разработали специальный фреймворк MVPNalyzer, который позволяет систематически анализировать поведение VPN-приложений на всех уровнях. Результаты исследования были представлены на престижной конференции по безопасности NDSS Symposium 2026.
Приложения, в которых были выявлены те или иные проблемы с безопасностью и приватностью, в сумме насчитывают 2,4 миллиарда установок.
61 приложение (22%) передавало данные без использования шифрования за пределами установленного туннеля. При этом большинство из этих приложений пользуются огромной популярностью — в среднем около 11 миллионов установок каждое.
Особую тревогу вызывают 5 приложений, которые передавали конфигурационные файлы в незашифрованном виде. Эти файлы содержат параметры подключения к VPN-серверу, и злоумышленник в той же Wi-Fi сети может перехватить их, подменить и перенаправить весь трафик пользователя на свой сервер. Исследователи успешно воспроизвели эту атаку в лабораторных условиях.
Исследователи уведомили разработчиков проблемных приложений о найденных уязвимостях. При повторной проверке выяснилось, что проблема устранена только в двух приложениях — VPN Pro и Hexa VPN. Остальные три — BambooVPN, Free VPN и 101 VPN — по-прежнему остаются уязвимыми для перехвата туннеля.
29 приложений (10%) допускали утечку трафика за пределы зашифрованного туннеля. Из них:
• 24 приложения (суммарно 360 миллионов установок) раскрывали DNS-запросы, позволяя любому в локальной сети узнать, какие сайты посещает пользователь.
• 6 приложений (54 миллиона установок) пропускали весь веб-трафик вне туннеля.
• 4 приложения использовали туннели вообще без шифрования.
76 приложений (27%) передавали рекламный идентификатор устройства (AAID) — уникальный код, позволяющий рекламным сетям отслеживать пользователя между разными приложениями.
Более того, 246 приложений (более 80%) подключались к известным рекламным и отслеживающим серверам, отправляя информацию о модели устройства, версии операционной системы и размере экрана. Само по себе каждое из этих полей безобидно, но в совокупности они формируют уникальный «цифровой отпечаток» устройства. Одно из приложений даже отправляло точные GPS-координаты пользователя.
Исследователи проанализировали OpenVPN-конфигурации 108 приложений. Результаты оказались неутешительными:
• Лишь одно приложение соответствовало всем требованиям безопасности.
• Около 89% полагались только на один метод аутентификации вместо комбинации пароля и сертификата.
• Почти пятая часть использовала уязвимые или устаревшие алгоритмы шифрования, включая старые версии Blowfish и Triple DES с известными брешами.
«Подавляющее большинство этих приложений практически не поддерживаются разработчиками, а автоматические проверки Google Play позволяют им оставаться в магазине», — отмечается в исследовании. Галочка «Проверено» на странице приложения — скорее маркетинговый ход, но никак не реальная гарантия безопасности.
Источник: https://thehackernews.com/2026/07/study-of-281-free-android-vpn-apps.html
Анализ VPN-приложений для Android: миллиарды пользователей под угрозой
Исследователи из Мичиганского университета, Университета Нью-Мексико и Делийского индийского технологического института провели масштабный аудит бесплатных VPN-приложений в Google Play. Результаты разочаровывают: большинство приложений не обеспечивают даже базовой защиты, которую обещают пользователям.
Новости
15 июля 2026
Анализ VPN-приложений для Android: миллиарды пользователей под угрозой
13 июля 2026
PhotoGIMP 3.1 — надстройка, превращающая GIMP в Photoshop
9 июля 2026
Cтабильный релиз Proton 11.0
6 июля 2026
На Sega MegaDrive запустили Linux
2 июля 2026
Brain2Qwerty v2: ИИ, который считывает мысли и превращает их в текст
25 июня 2026
Правозащитная организация SFC выпустила рекомендации по использованию ИИ в открытом коде
22 июня 2026
Вышел Qt Creator 20: поддержка AI-агентов, режим Zen и новая система сборки
18 июня 2026
Google официально выпустила Android 17
15 июня 2026
Стартовал конкурс разработчиков свободного ПО «Код логики»
14 июня 2026
Едем на конференцию разработчиков свободного ПО в Переславль!
9 июня 2026
Microsoft выпустила Azure Linux 4.0, базирующийся на Fedora
5 июня 2026
Обновлённая программа «Codex for Open Source»
1 июня 2026
Анализ перспектив развития проектов с открытым кодом в России
22 мая 2026
Релиз OpenBSD 7.9: улучшеная поддержка архитектур и новый трек «Diamond in the Rough»
20 мая 2026
GitHub расследует несанкционированный доступ к внутренним репозиториям
18 мая 2026
Линус Торвальдс рассказал почему ИИ-инструменты создают дополнительную нагрузку на мейнтрейнеров ядра
14 мая 2026
Googlebook — ноутбук со свободной нейросетью Gemini