Аналітики компанії Zimperium zLabs, що спеціалізується на мобільній безпеці, перевірили VPN для Android і iOS і виявили сотні застосунків, які не забезпечують реальну приватність, вимагають небезпечні дозволи, крадуть особисті дані та використовують застарілий вразливий код.

Особливо проблемними такі додатки стають для компаній, де співробітники використовують власні пристрої в роботі.

"Навіть популярні мобільні VPN-додатки можуть стати найслабшою ланкою в системі корпоративної безпеки, наражаючи на ризик конфіденційні бізнес-дані", - наголошується у звіті.

Що таке VPN

VPN (Virtual Private Network - віртуальна приватна мережа) - це технологія, яка шифрує інтернет-трафік користувача. Дані проходять через захищений сервер, що приховує активність від інтернет-провайдера та допомагає обходити географічні обмеження.

Така схема має підвищувати рівень конфіденційності, однак при використанні ненадійних сервісів ефект може бути протилежним.

Основні ризики: фішинг, витоки та зловживання дозволами.

Дослідження показало, що деякі VPN-додатки здатні робити скріншоти екрана користувача, фіксуючи вміст - включно з листами, фото та робочими даними.

Інші додатки також виявилися вразливими для атак через небезпечний запуск активностей, що дає змогу зловмисникам обходити системні перевірки, відключати шифрування або створювати видимість активного VPN, коли насправді захист не працює.

Zimperium також виявила зловживання дозволами: надмірний доступ дає змогу потенційним зловмисникам змінювати паролі, керувати обліковими записами або отримувати доступ до інших сервісів без авторизації.

Проблеми з прозорістю та політикою конфіденційності

Особливо тривожною виявилася ситуація із застосунками для iOS: частина з них не відповідає вимогам Apple щодо розкриття інформації про те, як використовуються користувацькі дані.

Близько 25% перевірених VPN не містили обов'язкових декларацій конфіденційності. Це створює ризики профілювання, повторної ідентифікації користувачів і монетизації їхніх даних.

Думка експертів

Експерти попереджають: користувачі, які розглядають безкоштовні VPN, повинні проявляти особливу обережність і уважно читати політику конфіденційності.

"Важливо зрозуміти, як компанія поводиться з вашими даними. Якщо вона передає або продає їх рекламодавцям, брокерам даних або зберігає логи вашої активності - шукайте інший VPN", - каже старший оглядач CNET Аттіла Томашек.

Він рекомендує використовувати VPN-сервіси, де безкоштовний тариф підтримується платною підпискою, як, наприклад, Proton VPN.