Профиль: Аноним (вход | регистрация) неRU opennet.me  
The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Анализ безопасности 281 VPN-приложения для Android

14.07.2026 09:12 (MSK)

Исследователи из Мичиганского университета разработали инструментарий MVPNalyzer для выявления утечек информации и анализа работы VPN, и проверили с его помощью 281 VPN-приложение для платформы Android. Для изучения были отобраны наиболее популярные VPN-приложений, распространяемые через каталог Google Play. VPN-приложения, в которых были выявлены те или иные проблемы с безопасностью и приватностью, в сумме насчитывают 2.4 миллиарда установок. Основные выводы:

  • В 61 приложении (22%) выявлена передача данных без использования шифрования, осуществляемая вне установленного туннеля. Большинство приложений из этой категории пользуются популярностью и в среднем насчитывают 11 млн установок. В 18 приложениях осуществлялось прямое обращение к сервису ip-api.com для определения местоположения по IP-адресу клиента.

    В 5 случаях без шифрования клиенту передавались файлы конфигурации, содержащие параметры подключения к VPN-серверу. Исследователи провели эксперимент и подтвердили возможность проведения MITM-атаки, позволяющей перенаправить трафик на свой сервер, имея возможность вклинится в канал связи жертвы, например, подключившейся к подконтрольной атакующему публичной беспроводной сети. Проблемные приложения (полный список всех приложений, в которых выявлены проблемы, приводятся на 17 странице PDF-отчёта):

    • BambooVPN: Turbo Fast VPN (free.vpn.unblock.proxy.bamboovpn);
    • VPN Pro (com.nebulatech.voocvpnpro);
    • Free VPN (com.appoxide.freevpn);
    • Hexa VPN (com.secure.vpn.proxy);
    • 101 VPN (com.shwe.vpn101).

    Исследователи уведомили о проблемах авторов данных приложений и спустя какое-то время провели повторную проверку самых свежих версий, которая показала, что уязвимость устранена только в двух приложениях - VPN Pro и Hexa VPN.

  • При работе 29 приложений (10%) возникает утечка трафика за пределы установленного туннеля. В 24 приложениях, насчитывающих 360 млн установок, происходила утечка сведений о посещаемых сайтах из-за прямой отправки DNS-запросов (20 отправляли DNS-запросы через локальный резолвер, а 6 через публичные DNS-сервисы Google, Cloudflare, AliDNS и DNSPod). В 6 приложениях, насчитывающих 54 млн установок, была выявлена отправка вне туннеля трафика, связанного с работой пользователя в web-браузере. В 4 приложениях данные передавались через нешифрованный туннель.

  • В 169 приложениях (60%) не применялась обфускация трафика, использовались типовые сетевые порты и отслеживаемые в общем потоке протоколы. Подобное поведение расходится с ожиданиями пользователей - в соответствии с опросом, проведённым в прошлом году, 82% пользователей VPN считают, что VPN обеспечивает им анонимность.
  • В 76 приложениях (27%) передавались уникальные для устройств идентификаторы AAID (Android Advertising ID), позволяющие отслеживать устройства и пользователей. В 246 приложениях (87%) зафиксировано обращение к известным рекламным сетям и сервисам отслеживания пользователей (всего зафиксировано обращение по 3714 разным URL). Одно приложение отправляло точные GPS-координаты устройства.

  • В 107 приложениях (38%) применялись настройки, не обеспечивающие оптимальный уровень безопасности. В 20 приложениях, в сумме насчитывающих 40 млн установок, применялись небезопасные методы шифрования. В 96 приложениях, насчитывающих 728 млн установок, использовались ненадёжные механизмы аутентификации.

    В 3 приложениях в настройках OpenVPN параметр data-ciphers был выставлен в значение "none", допускающее установку каналов связи без шифрования. В 8 приложениях параметр "cipher" был выставлен в значение "none", отключающее шифрование при использовании OpenVPN 2.4 и более ранних версий. В 12 приложениях использовались директивы, объявленные устаревшими. В 61 приложении в конфигурации OpenVPN не были включены директивы для блокирования известных методов атак.



  1. Главная ссылка к новости (https://thehackernews.com/2026...)
  2. OpenNews: Анализ безопасности 100 бесплатных VPN-приложений для платформы Android
  3. OpenNews: Анализ запроса ненадлежащих полномочий в VPN-приложениях для Android
  4. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
  5. OpenNews: Атака Port Shadow, позволяющая перенаправлять соединения других пользователей VPN и Wi-Fi
  6. OpenNews: 17 из 20 VPN-сервисов выдают неверную информацию о странах выходных узлов
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/65892-vpn
Ключевые слова: vpn, android, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, pepe_watafa (?), 09:24, 14/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    И где в отчёте Amnezia? Чё за херабору они там проверяли и кому оно надо?
     
     
  • 2.3, iCat (ok), 09:36, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Её, по всей видимости, не удостоили своим вниманием...
     
  • 2.6, INSANEWAVE (ok), 09:54, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Так она лежит уже которую неделю, чё её проверять
     
  • 2.10, нах. (?), 10:03, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • –1 +/
    русские ж придумали - сразу нахрен.
    Даже если они искренне хотели сделать хорошо а не срубить побыстрому деньжат с наивных рассеян оставшихся без мувиков (чего ни в самой затее ни в поделках около не просматривается и близко, кривые хаки чужого софта три строчки там, две строчки тут, в надежде примитивными методами обмануть фильтры, не работает уже нигде кроме Лондона и Парижа, их собственные серверы давно пользуют xray-core) - никто не может гарантировать что у одного из разработчиков нет престарелой мамы в Саратове, и к ней не придут завтра, если не пришли еще вчера.

    тратить токены на этот мусор, фи. Впрочем, какая-то неведомая фирма из, тьфуй, польшы (дай угадаю на каком йезыку разговаривают ее работнички) проводила ж сесурити аудит.
    И даже этот сброд из седьмого А нашел таки для начала - rce в Config import. В принципе, на этом можно и закончить, но там еще и загрузка списка серверов по... http! В 2k24м году!

    https://7asecurity.com/reports/pentest-report-amneziavpn3-RC1.1.pdf

    это ж вообще откуда должны быть руки и что должно быть в головах чтоб в подобной поделке в принципе откуда-то взялся - http?!

     
     
  • 3.16, xPhoenix (ok), 10:15, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    То есть Amnezia VPN не надо трогать даже двухметровой палкой?
     

  • 1.2, Аноним (2), 09:24, 14/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    То-то в AdguardVPN периодически при активно подключении службы geoip всё равно распознают Россию.
     
     
  • 2.4, Аноним (4), 09:42, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну, мне недавно гуглобот выдал что я подключен к некому местечковому провайдеру, на вопрос как узнал, он сказал что гдето на моих скриншота был часовой пояс, вот только я уже несколько лет как переехал, и даже случайно там этого быть не могло. Зато родственники остались там и впн общий, так что так.
     

  • 1.5, name (??), 09:43, 14/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Спасибо, пошёл качать.
     
  • 1.7, Жироватт (ok), 10:01, 14/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вооооу-воооооу, палехчи, оказывается в вайбкоженных приложениях и ксерокопия-клона-скопированного-дубля-двойника, которые массивами выгружаются в гуглеплей одними и теми же людьми на волне актуальности этого типа прокладок - могут быть и неоптимальные, и ненужные и даже какие-еще настройки и методы, а также утечки траффика и отсутствующее шифрование! Ну надо же! Секрет ЛолиШинели раскрыт - и Полишинель, и Дульсинея, и шинель, и полимеризованная полишинель, и лоли в шинели оказывается горбаты и рогаты! И постоянно треплют друг-друга за тазобедренную кость!

    А если серьёзно и с учётом того, что 99% этих приложений уже давно как используются не для приватности и организации безопасного Р2Р-туннеля, а сколько для получения доступа к узлам уже давно разваливающегося на сегменты интернета (а равно как и ресурсам, которым твой IP не люб и ты там побанен) - то эта МОЩЩНАЯ исследовательская работа имеет околонулевую практическую ценность.

    Нет, можно положить в основу пугалки (идея для бложека Касперского, давай, я знаю, ты смогёшь!) для обычного плебса, но с учётом их нынешнего назначения (про серьёзные корпоративные и свободные речи не идёт) - это откровенно слабо.

     
  • 1.8, Аноним (8), 10:01, 14/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я сам айтишник, но, если честно, именно из за того, что никогда не имел дела с публичными КВН сервисами, побаиваюсь их использовать из за того, что это может быть размен шила на мыло, т.е. еще большая угроза безопасности, чем была. Это проблема называется "горе от ума". Что интересно, какие-нибудь домохозайки пользуются и не парятся. А я вот боюсь.

    У меня опыт КВН был только с созданием туннеля ОпенКВН на Linux для раздачи мобильного интернета на другой компьютер через публичную сеть, где его могли тырить.

    Но вообще это типичная Россия. Вместо того, чтобы думать о том, чтобы выбрать нормальную власть на выборах, у нас все думают о том, какой КВН для обхода блокировок лучший.

     
     
  • 2.11, Жироватт (ok), 10:05, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Дочь офицера, залогинься
     
     
  • 3.17, Аноним (17), 10:16, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Дочери охфицеров (ну те которые охфицнры рабсияне) радостная катает белую ладу.
    Ну катала, сейчас чота бенз подорожал, но это всё временные трудности из-за дачников.

    А если серьезно - то чувак предлагает тупость.
    Лишнехромосомным выборы не нужны, за них умные люди и так все посчитают.
    Дедушку обнулят еще пару раз, он ведь до 150 решил жить.

     
  • 2.13, нах. (?), 10:09, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "я и сама жена офицера!"

    Давай, поагитируй еще за выборы. Ведь твой голос чего-то стоит! (15 pyблей)

     
     
  • 3.15, Жироватт (ok), 10:12, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, 15 рублей. Тут центры в Эстонии, там в евроцентах платят. Недавно уже была незаметная новость о выделении 140 миллионов ойро на подобное.
     
     
  • 4.20, Аноним (20), 10:17, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    > Тут центры в Эстонии, там в евроцентах платят

    Это ты из своего опыта пишешь? Работал и там, и там?

    >  Недавно уже была незаметная новость о выделении 140 миллионов ойро на подобное.

    На первом к-aнале? Или соловьиный помет напел?

     
  • 2.18, Тот_Самый_Анонимус_ (?), 10:17, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    >Но вообще это типичная Россия. Вместо того, чтобы думать о том

    Интересно, а в стране макдакнета думают о том что их неизвестные отцы ими управляют? Ну там йутуп и фейкбук... Когда гугл банит неугодные приложения и соцсети и регулирует результаты выдачи. Почему же они не выберут нормальную власть? Дай угадаю: их власть нормальна для них, как и наша для нас. А ты и дальше строчи комменты за пару гривен.

     
  • 2.19, xPhoenix (ok), 10:17, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    > выбрать нормальную власть
    > выбрать
    > власть

    Отличная шутка! Лучшая из всех, что я сегодня видел.

     

  • 1.9, Аноним (9), 10:03, 14/07/2026 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Так по итогу то кто "свой" у которого всё как надо?
     
     
  • 2.12, Жироватт (ok), 10:08, 14/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    CIA VPN v1.0.2+
    Написан на языке с боровами (unmanaged-часть) и Java (managed-часть).
    Проверен лично Господином Колонелем Билли Рубином.
    Собирает всего лишь 101% всей доступной информации об устройстве - и исключительно для телеметрии.
    Не анализирует твою галерею через гуглосервисы, А МОГ БЫ.
     
     
  • 3.21, Аноним (21), 10:18, 14/07/2026 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.14, Аноним (-), 10:10, 14/07/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру