VPN-приложения для Android

Многие пользователи смартфонов на платформе Android пытаются повысить приватность средствами VPN-приложений. Но к сожалению многие из них не только не обеспечивают приватности и не меняют IP пользователя, а наоборот отслеживают данные пользователя, не обеспечивают шифрование передаваемых данных , заражены зловредами, осуществляют перехват TLS-трафика и манипулируют HTTP-трафиком.

Полный отчет проведенных исследований:

«Лабораторные испытания выявили несколько экземпляров VPN-приложений, способных серьезно нарушить безопасность и приватность пользователя, — например, они используют ненадежные протоколы туннелирования VPN, а также сливают трафик IPv6 и DNS», — свидетельствует группа исследователей из Государственного объединения научных и прикладных исследований Австралии (AU-CSIRO), университета Нового Южного Уэльса и Международного института компьютерных наук при университете Калифорнии в Беркли. Доклад по результатам исследования «An Analysis of the Privacy and Security Risks of Android VPN Permission-enabled Apps» («Анализ рисков в отношении приватности и безопасности со стороны приложений для Android с разрешением VPN») был представлен на конференции IMC 2016, проведенной в ноябре в городе Санта-Моника, штат Калифорния, США.

«Мы также обнаружили ряд приложений, активно выполняющих перехват TLS, — пишут далее исследователи. — Особую тревогу вызывают экземпляры приложений, внедряющие JavaScript для слежения, показа рекламы и для перенаправления трафика электронной коммерции к внешним партнерам».

Дело в том, что с выпуском Android 4.0 в 2011 году Google ввела нативную поддержку для встроенных VPN-клиентов, и теперь такой клиент можно создать, запросив разрешение BIND_VPN_SERVICE. К сожалению, оказалось, что многие приложения злоупотребляют этим разрешением.

По словам авторов доклада, разработчики обычно используют BIND_VPN_SERVICE для перехвата, изменения и переадресации трафика на удаленный прокси или VPN-сервер либо для реализации прокси-серверов в localhost. Это мощный Android-сервис, которым легко можно воспользоваться с недоброй целью. Например, Android VPN API может открыть сетевой интерфейс по запросу приложения и направить этому приложению трафик с мобильного телефона или планшета.

Разработчики должны декларировать доступ к BIND_VPN_SERVICE, внося эту информацию в файл AndroidManifest, причем для каждого приложения отдельно. Возможности для злоупотребления особенно высоки при изменении маршрута трафика; Android в этом случае старается предотвратить абьюз: выводит два предупреждения, информируя пользователя о создании виртуального интерфейса и о его активном состоянии.

«Тем не менее среднестатистический пользователь мобильного устройства может недопонимать — возможно, из-за отсутствия технической подготовки, последствий выдачи стороннему приложению разрешения на чтение, блокировку и/или модификацию его трафика», — предполагают исследователи.

В докладе также отмечено, что проприетарные VPN-решения Cisco (AnyConnect) и Juniper (Junos), а также корпоративные решения для управления мобильными устройствами (MDM) реализуют собственные протоколы туннелирования поверх BIND_VPN_SERVICE.

В то же время в некоторых из подвергнутых анализу приложений отсутствуют важные средства защиты. Так, 18% VPN-приложений реализуют протоколы туннелирования без шифрования, что противоречит заявлениям об охране приватности. «Отсутствие сильного шифрования, как и слив трафика, может облегчить слежку, проводимую промежуточными устройствами (к примеру, коммерческими точками Wi-Fi-доступа, собирающими пользовательские данные) или спецслужбами», — подчеркивают исследователи.

В 38% приложений обнаружен вредоносный код, детектируемый антивирусами из коллекции VirusTotal; 16% переадресовывают трафик через пиры в сети, а не через хост, что ставит под сомнение доверие и приватность. Такой же процент приложений использует прокси для манипулирования HTTP-трафиком посредством внедрения и удаления заголовков или транскодирования изображений.

«Вместе с тем артефакты, реализуемые VPN-приложениями, выходят за рамки типовых функций, присущих HTTP-прокси, — рассказывают авторы исследования. — Мы идентифицировали два VPN-приложения, активно внедряющих код JavaScript в пользовательский трафик с целью показа рекламы и трекинга. А одно из них перенаправляет коммерческий трафик на внешних рекламных партнеров».

Большинство протестированных приложений (75%) позволяют отслеживать активность пользователя третьей стороне и запрашивают разрешение на доступ к данным аккаунта и/или текстовым сообщениям (82%). Четыре приложения компрометируют корневое хранилище пользователей и осуществляют перехват TLS на лету.

«Возможность выхода за пределы песочницы с помощью разрешения BIND_VPN_SERVICE и наивность представлений о сторонних VPN-приложениях, которые сложились у большинства пользователей, наводят на мысль о необходимости срочно пересмотреть модель разрешений VPN на Android и ужесточить контроль над VPN-клиентами, — заключают исследователи. — Анализ отзывов пользователей и рейтинги VPN-приложений говорят о том, что подавляющее большинство пользователей до сих пор находятся в неведении относительно подобных практик, даже в тех случаях, когда приложение довольно популярно».

Рекомендуемые анонимайзеры

Будьте внимательны при выборе приложений. Для обеспечения анонимности используйте только проверенные источники. Как мы уже писали в одной из наших статей важным нововведением разработчиков популярного браузера OPERA представили пользователям новую и абсолютно бесплатную возможность использования VPN соединений с помощью серверов компании.

Не многие из нас знают, что браузер TOR, который популярен на настольных и персональных ПК доступен и для мобильных устройств. Скачать Onion Browser можно с сайта разработчиков.

Скачать Onion Browser Google Play | F-Droid | Direct Download (.apk)

Возможности браузера Onion Browser

  • Сокрытие реального IP-адреса и защита сетевого трафика с помощью Tor от прослушивания в беспроводных сетях, а также со стороны провайдера;
  • Обеспечение доступа к скрытым сервисам Tor;
  • Поддержка сетевых мостов Tor;
  • Подмена HTTP-заголовка User-Agent и опция Do Not Track;
  • Настраиваемые политики хранения HTTP-Cookie;
  • Экстренное удаление HTTP-Cookie, очистка кэша, истории посещенных сайтов и смена IP-адреса единственным кликом;
  • Встроенный каталог сайтов .onion.

Хотя у использования Onion Browser есть и свои недостатки. Основным из них можно считать низкая скорость соединения. Браузер доступен и для Android и IOS. Так как Onion Browser берет свои корни от   TOR BUNDLE , следовательно и функции анонимности в нем тоже на высоком уровне.

Уже многие годы чиновники, политики и спецслужбы разных стран пытаются справится с разработчиками Браузера. Но за все эти годы еще ни одного официального заявления о своих успехах в раскрытие анонимности или перехвате данных не последовало.

При создании статьи использованы материалы из блога Лаборатории Касперского.

Вас могут заинтересовать:

@DDR5.RU

@DDR5.RU

Комментарии не относящиеся к тематикам страниц, вводящие в заблуждение пользователей нашего ресурса, носящие рекламный и провокационный характер будут беспощадно удаляться!!! С уважением, администрация DDR5.RU...

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *