The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Анализ запроса ненадлежащих полномочий в VPN-приложениях для Android

05.03.2019 11:08

Издание Thebestvpn, специализирующееся на сравнении различных VPN-провайдеров, провело анализ полномочий, запрашиваемых приложениями для организации работы через VPN, поставляемыми в каталоге Google Play. Исследование показало, что большинство из проверенных Android-приложений запрашивали полномочия, не имеющие отношения к функциональности VPN.

В частности, 50 из 81 протестированных VPN-приложений запрашивали доступ к пользовательским данным. Несмотря на то, что для работы VPN-приложения достаточно полномочий INTERNET и ACCESS_NETWORK_STATE, во многих приложениях запрашивался доступ к следующим API:

  • Чтение и запись на внешние носители: Betternet, Free VPN org, OneVPN, X-VPN, StarVPN, VPN One Click, Yoga VPN, AppVPN, ProXPN, Seed4me VPN, oVPNSpider, Goose VPN, SpyOFF, TouchVPN, SwitchVPN, Trust Zone, McAfee VPN, SurfEasy, Psiphon, TigerVPN, Dash VPN, Hotspot Shield, NordVPN, Hola VPN, SurfShark, VPN Secure, Zoog VPN;
  • Получение сведений о точном местоположении пользователя: Yoga VPN, VPN Unlimited, ProXPN, Seed4me VPN, oVPNSpider, SwitchVPN, Dash VPN, Hola VPN, Zoog VPN;
  • Получение сведений о приблизительном местоположении: (WindScribe, Free VPN org, Yoga VPN, HideMyAss, Avast VPN, AVG VPN, iVPN, ProXPN, oVPNSpider, TouchVPN, SwitchVPN, Kaspersky VPN, Psiphon VPN, Speedify, Dash VPN, Zoog VPN);
  • Загрузка информации о состоянии телефона (телефонный номер, сотовый оператор, статус исходящих вызовов): Avira VPN, Free VPN org, Norton Secure VPN, VPN One Click, Yoga VPN, HideMyAss, AVG VPN, ProXPN, Goose VPN, Touch VPN, McAfee VPN, SurfEasy, Kaspersky VPN, Speedify, Dash VPN, Hotspot Shield, ibVPN, Hola VPN;
  • Возможность изменения системных настроек: Hide.me, Speedify, Yoga VPN;
  • Доступ к системным логам (в том числе к логу звонков): TigerVPN, oVPNSpider;
  • Доступ к пользовательским документам: TigerVPN;
  • Возможность загрузки дампа с состоянием системных сервисов: PureVPN.

По числу опасных полномочий лидирует приложение Yoga VPN (запрос доступа к 6 расширенным API), насчитывающее 5 млн установок. На втором месте proXPN VPN (5). Третье место разделили Hola Free VPN (4), Seed4.Me VPN (4), OvpnSpider (4), SwitchVPN (4) и Zoog VPN (4).

Напомним, что проведённое в 2017 году исследование 283 мобильных приложений с реализаций функций VPN, показало, что в 18% из них не используется шифрование (трафик отправлялся в открытом виде), 84% пропускали IPv6-трафик в обход создаваемого туннеля, 66% напрямую отправляли запросы к DNS, 16% с целью оптимизации модифицировали транзитный HTTP-трафик пользователя (например, для перекодирования изображений), два приложения подставляли свою рекламу в транзитный трафик, одно приложение передавало запросы к интернет-магазинам в партнёрский сервис, четыре приложения устанавливали в систему свои корневые сертификаты для перехвата HTTPS-соединений.

  1. Главная ссылка к новости (https://thebestvpn.com/android...)
  2. OpenNews: Mozilla экспериментирует с добавлением платного VPN в Firefox
  3. OpenNews: Для включения в состав ядра Linux предложен VPN WireGuard
  4. OpenNews: Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8.7 млн пользователей
  5. OpenNews: 20% VPN раскрывают внутренний IP-адрес пользователя через WebRTC
  6. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: vpn, android
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (42) Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, КО (?), 11:13, 05/03/2019 [ответить] [показать ветку] [····]    [к модератору]
  • +19 +/
    Можно подумать, что это относится к приложениям типа VPN.
    Это они еще фонарики не анализировали. :)
     
     
  • 2.2, Аноним (2), 11:20, 05/03/2019 [^] [ответить]    [к модератору]
  • +2 +/
    Фонарику нужно писать в системные логи: в такое-то фремя фонарик был включен. И возможность отрывать управляющий порт для удалённого включения/отключеия фонарика.
     
     
  • 3.8, Мимокрокодил (?), 12:00, 05/03/2019 [^] [ответить]    [к модератору]
  • +2 +/
    Хрень оказалась все эти разрешения, не говорится в них что для чего и можно использовать как во благо так и во вред. Вон tinc'у камера нужна, full mesh VPN'у камера, дичь какая, казалось бы. Вообще-то очень многим ведроид-приложениям нужна, я не хочу руками вбивать, я хочу QR-Code.
    А логи куда писать, а конфиги откуда читать? Короче надо что-то в консерватории менять.
     
     
  • 4.11, DerRoteBaron (ok), 13:07, 05/03/2019 [^] [ответить]    [к модератору]
  • +3 +/
    > А логи куда писать, а конфиги откуда читать?

    В нормальной ситуации в /data/data/{package.name}/
    Но вот экспортировать/импортировать их без доступа к хранилищу проблематично.

    > я хочу QR-Code

    а тут модель разрешений ведроида страдает. Здесь нужно бы отдельное API для работы с QR-кодами или хотя бы вариант однократного разрешения доступа к камере.

    > для чего и можно использовать как во благо так и во вред

    Именно. Поэтому следует по умолчанию считать, что во вред. Особенно с тем, что разрешения автоматически при обновлении не отзываются, а с политиками автообновления и возможностью продать приложение на сторону вероятность в очередной версии получить зловреда, использующего эти разрешения в своих целях весьма велика.

     
  • 2.16, Аноним (16), 13:49, 05/03/2019 [^] [ответить]    [к модератору]
  • +/
    В андройде фанарик включается только включением модуля камеры.
     
     
  • 3.24, имя (?), 16:23, 05/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Ага, особенно фонарики категории «целиком белый экран».
     
  • 1.3, анон (?), 11:24, 05/03/2019 [ответить] [показать ветку] [····]    [к модератору]  
  • +7 +/
    грустно конечно.
    покупайте за копейки vps-ку, ставьте туда vpn l2tp и везде будете иметь свое теплое, ламповое, универсальное.
     
     
  • 2.13, maks (??), 13:23, 05/03/2019 [^] [ответить]    [к модератору]  
  • +5 +/
    Покупайте <какое-то странное слово>, ставьте туда <хз что вообще, какой-то набор букв явно случайных> и будете иметь своё теплое, ламповое, универсальное.

    Так видит подавляющее большинство пользоветелей VPN твою фразу. Не удивлюсь, если даже не все анонимусы поняли суть фразы. Ну а в целом - да. Самый лучший провайдер - ты сам.

     
     
  • 3.15, el (??), 13:43, 05/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    кому надо - те поймут
     
     
  • 4.25, рэмзэн95к (?), 16:37, 05/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    кто не понял тот поймёт
     
     
  • 5.40, Аноним (40), 09:05, 06/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Но не сразу ;)
     
  • 2.18, пох (?), 14:15, 05/03/2019 [^] [ответить]    [к модератору]  
  • –3 +/
    лыко для плетения лаптей - в лесу тоже самому драть?

    (тут вон специальный ботинок для некоего вида спорта взял и скосплеил слиппер - подошва отвалилась, следов клея нет - видимо, потому и отвалилась, что для по жизни вечномокрой обуви выбрали водорастворимый клей - и это не невезение, так у большинства производителей)

    но, боюсь, воспроизвести на коленке натуральным хозяйством все современное производство и все сервисы немножечко безнадежная затея.

    вот может если вместо этого ввести показательные порки кнутом...

     
  • 2.19, Аноним (19), 14:43, 05/03/2019 [^] [ответить]    [к модератору]  
  • +4 +/
    Нежданчик от hideme, однако. Надо отключаться.
     
     
  • 3.21, Begemot (??), 15:20, 05/03/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Я бы сказал подляночка. :(
     
  • 3.27, Аноним (27), 17:50, 05/03/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    А вы куда, простите, смотрели при установке?
     
  • 2.26, SysA (?), 17:44, 05/03/2019 [^] [ответить]    [к модератору]  
  • +/
    A ничего, что многие, если не все, хостеры в договоре прописывают запрет ВПН и проксирования?.. ;)
     
     
  • 3.28, трурль (?), 18:06, 05/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Ничего. Читайте внимательнее, какое именно проксирование запрещают: публичное без пароля. Для личного пользования — пожалуйста.
    Во всяком случае, у тех дешманских тарифов, с которыми я имел дело.
     
  • 1.4, бублички (?), 11:34, 05/03/2019 [ответить] [показать ветку] [····]    [к модератору]  
  • +1 +/
    в GooglePlay знаю лишь 2 VPN приложения - OpenVPN Connect и strongSwan VPN Client. остальное всё от лукавого
     
     
  • 2.5, wg0 (?), 11:42, 05/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    А как же wireguard?
     
     
  • 3.6, Мимокрокодил (?), 11:53, 05/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    И tinc.
     
     
  • 4.7, A (?), 11:59, 05/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Cisco AnyConnect?
     
     
  • 5.39, Мимокрокодил (?), 08:45, 06/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Где скачать? На Mi A1 норм запустится?
     
     
  • 6.43, Аноним (43), 12:30, 10/03/2019 [^] [ответить]    [к модератору]  
  • +/
    >>> Где скачать

    Проще всего на внутреннем сайте своего или друга работодателя. В инете найти тоже можно, но гораздо дольше.

     
  • 2.9, iPony (?), 12:44, 05/03/2019 [^] [ответить]    [к модератору]  
  • +/
    ProtonVPN вроде бы как относительно доверяемое
     
     
  • 3.14, Аноним (-), 13:29, 05/03/2019 [^] [ответить]    [к модератору]  
  • +9 +/
    ProtonVPN классная вещь, но на моем старом андроеде 4й версии приходится юзать обычный OpenVPN-клиент с серверами ProtonVPN. А так да, приложение они классное сделали.
     
     
  • 4.20, Аноним (20), 15:17, 05/03/2019 [^] [ответить]    [к модератору]  
  • +5 +/
    Там щас активно тестят поддержку WireGuard.
     
  • 4.29, iPony (?), 18:14, 05/03/2019 [^] [ответить]    [к модератору]  
  • +/
    > приходится юзать обычный OpenVPN-клиент

    Я не выдержал его вида на Windows 10 и iOS. Прям жёстко.
    На Linux и macOS GnomeVPN и Tunnelblick вполне нормальные.

     
  • 4.36, Аноним (36), 23:50, 05/03/2019 [^] [ответить]    [к модератору]  
  • +/
    >приходится

    по-моему юзать клиент, не привязаный к сервису - это единственный разумный выбор в данном случае.

     
  • 3.22, Канделябры (?), 15:37, 05/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Вот вы палите и палите, а загрузка бесплатных серверов всё растёт и растёт. Не рубите сук, так сказать.
     
  • 2.38, EuPhobos (ok), 05:50, 06/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Пользуюсь OpenVPN, с недавнего времени стал просить доступ к местоположению и медиафайлам на устройстве, отключил обновление, ибо и так работает.
     
     
  • 3.41, нонима (?), 10:00, 06/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Попробуй OpenVPN из F-Droid, сильно удивишься, что приложению не требуется никаких разрешений =)
     
  • 1.10, DerRoteBaron (ok), 12:57, 05/03/2019 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    Доступ к носителю понять еще можно. Экспорт конфигураций, импорт сертификатов и всякое такое.
    Если он запрашивается по API23+, конечно
     
  • 1.12, тов. майор (?), 13:20, 05/03/2019 [ответить] [показать ветку] [····]    [к модератору]  
  • –1 +/
    Если у вас есть возможность обхода блокировок, это не ваша заслуга, а наша недоработка.
     
     
  • 2.33, Аноним (33), 23:28, 05/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Так делом занимайся , а не по карманам тырь
     
  • 1.17, Максим (??), 13:51, 05/03/2019 [ответить] [показать ветку] [····]    [к модератору]  
  • +6 +/
    > Возможность изменения системных настроек
    > Hide.me

    Вот дeрьмо! Годами юзал этот трeш. Интересно, что он мне там наизменял? В любом случае, через неделю подписка закончится, больше не продлю.

     
  • 1.23, ryoken (ok), 16:11, 05/03/2019 [ответить] [показать ветку] [····]    [к модератору]  
  • +3 +/
    Познавательно. OneVPN второпях прочёл как OpenVPN, поудивлялся. Значит, ProtonVPN, говорите..?
     
  • 1.30, Аноним (36), 18:32, 05/03/2019 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    >ZOG VPN

    Ничего удивительного.

     
  • 1.32, Аноним (-), 21:00, 05/03/2019 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    >Kaspersky VPN

    кто этим пользуется и зачем?

     
     
  • 2.34, Аноним (33), 23:32, 05/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Сексоты Касперского
     
  • 1.35, Аноним (35), 23:44, 05/03/2019 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    UltraSurf и Астриll всех победили?)))
     
  • 1.37, Аноним (37), 02:16, 06/03/2019 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    OpenVPN для Андроид из FDroid работает не пыхтит никаких лишних прав не требует
     
     
  • 2.42, Аноним (-), 20:21, 06/03/2019 [^] [ответить]    [к модератору]  
  • +/
    + 100500
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:


    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру
    Hosting by Ihor