Как VPN-клиенты под Android шпионят за пользователями

в 10:50, , рубрики: android, Android VPN Service, BIND_VPN_SERVICE, ICSI Netalyzr, vpn, информационная безопасность, смартфоны, Софт, статический анализ

Как VPN-клиенты под Android шпионят за пользователями - 1
Тестирование VPN-клиентов проверило три возможных режима перехвата и перенаправления трафика через VPN-клиент: локальный перехват (1); перенаправление в облако через VPN-сервер (2); пиринговый форвардинг через узел, участвующий в системе (3). Сниффинг и анализ трафика производился сниффером ICSI Netalyzr через настроенную точку доступа WiFi

С выходом Android 4.0 в октябре 2011 года разработчики мобильных приложений получили нативную поддержку для встроенных VPN-клиентов через класс Android VPN Service. В отличие от десктопных операционных систем, где приложению требуется рутовый доступ для создания виртуальных интерфейсов, под Android достаточно всего лишь запросить разрешение BIND_VPN_SERVICE для создания VPN-клиента.

Официальная документация по ОС Android предупреждает о серьёзных проблемах с безопасностью при использовании упомянутого класса. Получив такое разрешение, приложение получает право перехвата и полного контроля трафика с устройства.

Зачем программе может понадобиться разрешение VPN? Некоторые приложения используют эту функцию для обхода государственной цензуры, обеспечения анонимности — здесь VPN вполне уместен. Однако гораздо больше вредоносных приложений просят разрешения на туннелирование трафика только по одной причине: для сбора конфиденциальных данных. К сожалению, некоторым пользователям не хватает технических знаний, чтобы понимать полномочия и всю опасность Android-приложения, получившего доступ к классу VpnService — это несмотря на все предупреждения, которые выдаёт ОС.

Группа специалистов по безопасности из Калифорнийского университета в Беркли (США), Университета Нового Южного Уэльса (Австралия) и Государственного объединения научных и прикладных исследований Австралии (CSIRO) провела исследование, насколько распространённой является проблема утечки конфиденциальных данных через Android-приложения, которые получили доступ к BIND_VPN_SERVICE. Они изучили 283 приложения из каталога Google Play — это VPN-клиенты (67%), корпоративные программы с VPN (10%), оптимизаторы траффика (4%), мессенджеры с VPN (3%), фильтры трафика (2%), логгеры трафика (2%), антивирусы (1%), клиенты Tor (1%) и другие (10%).

Для оценки программ был разработан набор тестов, которые сочетают статический анализ кода и специально разработанные методы активных сетевых тестов. Судя по всему, это первый масштабный анализ VPN-клиентов под Android на предмет утечки информации.

Статический анализ включал в себя анализ разрешений, которые запрашивают приложения, учёт библиотек для трекинга (с помощью ApkTool), учёт вирусов и вредоносных компонентов (с помощью открытых VirusTotal API).

Например, в таблице приведены результаты сканирования антивирусом популярных VPN-клиентов с количеством установок более 500 тыс. Как видим, для половины из них антивирусная проверка дала положительный результат (колонка «AV-проверка» в таблице), а другая половина VPN-клиентов сумела успешно обмануть антивирус чиста.

Приложение Класс Рейтинг Отзывов Установок AV-проверка
EasyOvpn Бесплатное 4,2 84 400 5 млн +
VPN Free Платное 4,0 15 788 1 млн +
Tigervpns Бесплатное 4,1 36 617 1 млн +
DNSet Платное 4,0 21 699 500 тыс.
CM Data Manager Платное 4,3 11 005 1 млн
Rocket VPN Бесплатное 4,2 11 625 500 тыс. +
Globus VPN Бесплатное 4,3 14 273 500 тыс.
Spotflux VPN Бесплатное 4,0 14 095 500 тыс.
CyberGhost Бесплатное 4,0 13 689 500 тыс. +

Если учитывать не только популярные, но и менее популярные клиенты, то больше всего антивирусов нашли вредоносный код в следующих программах: OkVpn (24 антивируса с позитивным результатом), EasyVpn (22), SuperVPN (13), Betternet (13), CrossVpn (11), Archie VPN (10), HatVPN (10), sFly Network Booster (10), One Click VPN (6), Fast Secure Payment (5).

Статический анализ функциональности и активный анализ трафика выявили несколько тревожных фактов. Оказалось, что 18% VPN-клиентов вообще не шифруют трафик пользователей. 38% клиентов внедряют в трафик вредоносное программное обеспечение или вредоносную рекламу с конкретной целью доступа к информации пользователя. Иронично, что люди устанавливают такие программы с целью защитить свою информацию от постороннего доступа, защитить свою анонимность и сохранить конфиденциальность — а на практике получают обратное. Эти вредоносные VPN-клиенты установлены на компьютеры десятков миллионов пользователей.

Исследователи обнаружили, что 80% приложений запрашивают доступ к различной конфиденциальной информации, в том числе к аккаунтам пользователей и текстовым сообщениям. Две трети VPN-клиентов оснащаются сторонними следящими библиотеками. Это значительно больше, чем в обычных приложениях.

Как VPN-клиенты под Android шпионят за пользователями - 2
Распределение сторонних следящих библиотек в бесплатных и платных VPN-клиентах, а также во всех приложениях из каталога Google Play (для сравнения)

Хотя большинство этих приложений действительно дают возможность анонимной работы в интернете (в каком-то смысле), в реальности они собирают большой объём персональных данных о пользователях, который потом можно продать третьим лицам.

По данным анализа отзывов в Google Play, всего 1% пользователей выразили какую-то обеспокоенность относительно приватности или безопасности в связи с VPN-клиентами на своём Android-смартфоне.

До публикации отчёта (pdf) он был разослан разработчикам VPN-клиентов и другим специалистам по безопасности. В результате некоторые разработчики исправили уязвимости безопасности в своих программах, а другие удалили их из каталога Google Play. «Всегда обращайте внимание на разрешения приложений, которые вы скачиваете, — говорит профессор Дали Каафар (Dali Kaafar), главный научный сотрудник CSIRO по онлайновой приватности и безопасности. — Исследование показало, что пользователям VPN-клиентов следует изучить, насколько серьёзны проблемы с этими приложениями и насколько велики риски, которым они подвергают себя при использовании таких сервисов».

Автор: alizar

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js