Анализ VPN-приложений для Android: миллиарды пользователей под угрозой

15 июля 2026

Анализ VPN-приложений для Android: миллиарды пользователей под угрозой

Новости

Исследователи из Мичиганского университета, Университета Нью-Мексико и Делийского индийского технологического института провели масштабный аудит бесплатных VPN-приложений в Google Play. Результаты разочаровывают: большинство приложений не обеспечивают даже базовой защиты, которую обещают пользователям.

Специалисты протестировали 281 наиболее популярных бесплатных VPN-приложений на устройствах под управлением Android 14. Для этого они разработали специальный фреймворк MVPNalyzer, который позволяет систематически анализировать поведение VPN-приложений на всех  уровнях. Результаты исследования были представлены на престижной конференции по безопасности NDSS Symposium 2026.

Приложения, в которых были выявлены те или иные проблемы с безопасностью и приватностью, в сумме насчитывают 2,4 миллиарда установок. 

61 приложение (22%) передавало данные без использования шифрования за пределами установленного туннеля. При этом большинство из этих приложений пользуются огромной популярностью — в среднем около 11 миллионов установок каждое.

Особую тревогу вызывают 5 приложений, которые передавали конфигурационные файлы в незашифрованном виде. Эти файлы содержат параметры подключения к VPN-серверу, и злоумышленник в той же Wi-Fi сети может перехватить их, подменить и перенаправить весь трафик пользователя на свой сервер. Исследователи успешно воспроизвели эту атаку в лабораторных условиях.

Исследователи уведомили разработчиков проблемных приложений о найденных уязвимостях. При повторной проверке выяснилось, что проблема устранена только в двух приложениях — VPN Pro и Hexa VPN. Остальные три — BambooVPN, Free VPN и 101 VPN — по-прежнему остаются уязвимыми для перехвата туннеля.


29 приложений (10%) допускали утечку трафика за пределы зашифрованного туннеля. Из них:

    • 24 приложения (суммарно 360 миллионов установок) раскрывали DNS-запросы, позволяя любому в локальной сети узнать, какие сайты посещает пользователь.

    • 6 приложений (54 миллиона установок) пропускали весь веб-трафик вне туннеля.

    • 4 приложения использовали туннели вообще без шифрования.


76 приложений (27%) передавали рекламный идентификатор устройства (AAID) — уникальный код, позволяющий рекламным сетям отслеживать пользователя между разными приложениями.

Более того, 246 приложений (более 80%) подключались к известным рекламным и отслеживающим серверам, отправляя информацию о модели устройства, версии операционной системы и размере экрана. Само по себе каждое из этих полей безобидно, но в совокупности они формируют уникальный «цифровой отпечаток» устройства. Одно из приложений даже отправляло точные GPS-координаты пользователя.


Исследователи проанализировали OpenVPN-конфигурации 108 приложений. Результаты оказались неутешительными:

    • Лишь одно приложение соответствовало всем требованиям безопасности.

    • Около 89% полагались только на один метод аутентификации вместо комбинации пароля и сертификата.

    • Почти пятая часть использовала уязвимые или устаревшие алгоритмы шифрования, включая старые версии Blowfish и Triple DES с известными брешами.


«Подавляющее большинство этих приложений практически не поддерживаются разработчиками, а автоматические проверки Google Play позволяют им оставаться в магазине», — отмечается в исследовании. Галочка «Проверено» на странице приложения — скорее маркетинговый ход, но никак не реальная гарантия безопасности.


Источник: https://thehackernews.com/2026/07/study-of-281-free-android-vpn-apps.html

Новости

15 июля 2026

Анализ VPN-приложений для Android: миллиарды пользователей под угрозой

Новости

13 июля 2026

PhotoGIMP 3.1 — надстройка, превращающая GIMP в Photoshop

Новости

9 июля 2026

Cтабильный релиз Proton 11.0

Новости

6 июля 2026

На Sega MegaDrive запустили Linux

Новости

2 июля 2026

Brain2Qwerty v2: ИИ, который считывает мысли и превращает их в текст

Новости

25 июня 2026

Правозащитная организация SFC выпустила рекомендации по использованию ИИ в открытом коде

Новости

22 июня 2026

Вышел Qt Creator 20: поддержка AI-агентов, режим Zen и новая система сборки

Новости

18 июня 2026

Google официально выпустила Android 17

Новости

15 июня 2026

Стартовал конкурс разработчиков свободного ПО «Код логики»

Новости

14 июня 2026

Едем на конференцию разработчиков свободного ПО в Переславль!

Новости

9 июня 2026

Microsoft выпустила Azure Linux 4.0, базирующийся на Fedora

Новости

5 июня 2026

Обновлённая программа «Codex for Open Source»

Новости

1 июня 2026

Анализ перспектив развития проектов с открытым кодом в России

Новости

22 мая 2026

Релиз OpenBSD 7.9: улучшеная поддержка архитектур и новый трек «Diamond in the Rough»

Новости

20 мая 2026

GitHub расследует несанкционированный доступ к внутренним репозиториям

Новости

18 мая 2026

Линус Торвальдс рассказал почему ИИ-инструменты создают дополнительную нагрузку на мейнтрейнеров ядра

Новости

14 мая 2026

Googlebook — ноутбук со свободной нейросетью Gemini

Новости