Профиль: Аноним (вход | регистрация) неRU opennet.me  
The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Анализ безопасности 281 VPN-приложения для Android

14.07.2026 09:12 (MSK)

Исследователи из Мичиганского университета разработали инструментарий MVPNalyzer для выявления утечек информации и анализа работы VPN, и проверили с его помощью 281 VPN-приложение для платформы Android. Для изучения были отобраны наиболее популярные VPN-приложений, распространяемые через каталог Google Play. VPN-приложения, в которых были выявлены те или иные проблемы с безопасностью и приватностью, в сумме насчитывают 2.4 миллиарда установок. Основные выводы:

  • В 61 приложении (22%) выявлена передача данных без использования шифрования, осуществляемая вне установленного туннеля. Большинство приложений из этой категории пользуются популярностью и в среднем насчитывают 11 млн установок. В 18 приложениях осуществлялось прямое обращение к сервису ip-api.com для определения местоположения по IP-адресу клиента.

    В 5 случаях без шифрования клиенту передавались файлы конфигурации, содержащие параметры подключения к VPN-серверу. Исследователи провели эксперимент и подтвердили возможность проведения MITM-атаки, позволяющей перенаправить трафик на свой сервер, имея возможность вклинится в канал связи жертвы, например, подключившейся к подконтрольной атакующему публичной беспроводной сети. Проблемные приложения (полный список всех приложений, в которых выявлены проблемы, приводятся на 17 странице PDF-отчёта):

    • BambooVPN: Turbo Fast VPN (free.vpn.unblock.proxy.bamboovpn);
    • VPN Pro (com.nebulatech.voocvpnpro);
    • Free VPN (com.appoxide.freevpn);
    • Hexa VPN (com.secure.vpn.proxy);
    • 101 VPN (com.shwe.vpn101).

    Исследователи уведомили о проблемах авторов данных приложений и спустя какое-то время провели повторную проверку самых свежих версий, которая показала, что уязвимость устранена только в двух приложениях - VPN Pro и Hexa VPN.

  • При работе 29 приложений (10%) возникает утечка трафика за пределы установленного туннеля. В 24 приложениях, насчитывающих 360 млн установок, происходила утечка сведений о посещаемых сайтах из-за прямой отправки DNS-запросов (20 отправляли DNS-запросы через локальный резолвер, а 6 через публичные DNS-сервисы Google, Cloudflare, AliDNS и DNSPod). В 6 приложениях, насчитывающих 54 млн установок, была выявлена отправка вне туннеля трафика, связанного с работой пользователя в web-браузере. В 4 приложениях данные передавались через нешифрованный туннель.

  • В 169 приложениях (60%) не применялась обфускация трафика, использовались типовые сетевые порты и отслеживаемые в общем потоке протоколы. Подобное поведение расходится с ожиданиями пользователей - в соответствии с опросом, проведённым в прошлом году, 82% пользователей VPN считают, что VPN обеспечивает им анонимность.
  • В 76 приложениях (27%) передавались уникальные для устройств идентификаторы AAID (Android Advertising ID), позволяющие отслеживать устройства и пользователей. В 246 приложениях (87%) зафиксировано обращение к известным рекламным сетям и сервисам отслеживания пользователей (всего зафиксировано обращение по 3714 разным URL). Одно приложение отправляло точные GPS-координаты устройства.

  • В 107 приложениях (38%) применялись настройки, не обеспечивающие оптимальный уровень безопасности. В 20 приложениях, в сумме насчитывающих 40 млн установок, применялись небезопасные методы шифрования. В 96 приложениях, насчитывающих 728 млн установок, использовались ненадёжные механизмы аутентификации.

    В 3 приложениях в настройках OpenVPN параметр data-ciphers был выставлен в значение "none", допускающее установку каналов связи без шифрования. В 8 приложениях параметр "cipher" был выставлен в значение "none", отключающее шифрование при использовании OpenVPN 2.4 и более ранних версий. В 12 приложениях использовались директивы, объявленные устаревшими. В 61 приложении в конфигурации OpenVPN не были включены директивы для блокирования известных методов атак.



  1. Главная ссылка к новости (https://thehackernews.com/2026...)
  2. OpenNews: Анализ безопасности 100 бесплатных VPN-приложений для платформы Android
  3. OpenNews: Анализ запроса ненадлежащих полномочий в VPN-приложениях для Android
  4. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
  5. OpenNews: Атака Port Shadow, позволяющая перенаправлять соединения других пользователей VPN и Wi-Fi
  6. OpenNews: 17 из 20 VPN-сервисов выдают неверную информацию о странах выходных узлов
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/65892-vpn
Ключевые слова: vpn, android, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (17) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, pepe_watafa (?), 09:24, 14/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    И где в отчёте Amnezia? Чё за херабору они там проверяли и кому оно надо?
     
     
  • 2.3, iCat (ok), 09:36, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Её, по всей видимости, не удостоили своим вниманием...
     
  • 2.6, INSANEWAVE (ok), 09:54, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Так она лежит уже которую неделю, чё её проверять
     
     
  • 3.41, Аноним (41), 11:02, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Какую неделю? Как весной легла, так и не работает. Видимо, всё.
     
  • 2.10, нах. (?), 10:03, 14/07/2026 Скрыто ботом-модератором     [к модератору]
  • –7 +/
     
     
  • 3.16, xPhoenix (ok), 10:15, 14/07/2026 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 4.22, нах. (?), 10:24, 14/07/2026 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 5.45, localhostadmin (ok), 11:27, 14/07/2026 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.31, Bob (??), 10:33, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    кто знает на счёт Amnezia - сам и проверит.
    Этот же тест больше для домохозяек: не ведитесь на халяву, ибо оной нет. И не стоит ставить рандом даже с play market, июо за качество кода там никто не в ответе.
     

  • 1.2, Аноним (2), 09:24, 14/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    То-то в AdguardVPN периодически при активно подключении службы geoip всё равно распознают Россию.
     
     
  • 2.4, Аноним (4), 09:42, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну, мне недавно гуглобот выдал что я подключен к некому местечковому провайдеру, на вопрос как узнал, он сказал что гдето на моих скриншота был часовой пояс, вот только я уже несколько лет как переехал, и даже случайно там этого быть не могло. Зато родственники остались там и впн общий, так что так.
     

  • 1.7, Жироватт (ok), 10:01, 14/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вооооу-воооооу, палехчи, оказывается в вайбкоженных приложениях и ксерокопия-клона-скопированного-дубля-двойника, которые массивами выгружаются в гуглеплей одними и теми же людьми на волне актуальности этого типа прокладок - могут быть и неоптимальные, и ненужные и даже какие-еще настройки и методы, а также утечки траффика и отсутствующее шифрование! Ну надо же! Секрет ЛолиШинели раскрыт - и Полишинель, и Дульсинея, и шинель, и полимеризованная полишинель, и лоли в шинели оказывается горбаты и рогаты! И постоянно треплют друг-друга за тазобедренную кость!

    А если серьёзно и с учётом того, что 99% этих приложений уже давно как используются не для приватности и организации безопасного Р2Р-туннеля, а сколько для получения доступа к узлам уже давно разваливающегося на сегменты интернета (а равно как и ресурсам, которым твой IP не люб и ты там побанен) - то эта МОЩЩНАЯ исследовательская работа имеет околонулевую практическую ценность.

    Нет, можно положить в основу пугалки (идея для бложека Касперского, давай, я знаю, ты смогёшь!) для обычного плебса, но с учётом их нынешнего назначения (про серьёзные корпоративные и свободные речи не идёт) - это откровенно слабо.

     
  • 1.23, Аноним (23), 10:25, 14/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну так себе исследование. То что публичные квны собирают инфу (а возможно и сами стучат куда-то) и так понятно. Интересней был-бы анализ клиентов с подключением к собственному серверу. Что в такой схеме утекает
     
  • 1.28, Doom (??), 10:30, 14/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Люди работающие в ИТ до сих пор ставят на личный девайс VPN от не пойми кого - это прям оксюморон какой-то.

    Помимо помощи в сборе и продаже собственной модели предпочтений, психики и настроений разными коллекторами рекламным и не только службам - еще и добровольно заворачивать свои приватные данные незнамо кому…)

     
     
  • 2.33, нах. (?), 10:35, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    > Люди работающие в ИТ до сих пор ставят на личный девайс VPN
    > от не пойми кого - это прям оксюморон какой-то.

    то ли дело ты, васян, у тебя-то от пойми кого впны!

     
  • 2.40, timur.davletshin (ok), 10:54, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    > Люди работающие в ИТ...

    Чем больше айтишник, тем меньше у него времени на техническую составляющую. Так и живём.

     

  • 1.43, Аноним (43), 11:17, 14/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эммм. У одного меня так, или GitHub только что был заблокирован РКН?
     



    Отправка комментариев в данном обсуждении разрешена только зарегистрированным участникам.
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру