The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Анализ запроса ненадлежащих полномочий в VPN-приложениях для Android

05.03.2019 11:08

Издание Thebestvpn, специализирующееся на сравнении различных VPN-провайдеров, провело анализ полномочий, запрашиваемых приложениями для организации работы через VPN, поставляемыми в каталоге Google Play. Исследование показало, что большинство из проверенных Android-приложений запрашивали полномочия, не имеющие отношения к функциональности VPN.

В частности, 50 из 81 протестированных VPN-приложений запрашивали доступ к пользовательским данным. Несмотря на то, что для работы VPN-приложения достаточно полномочий INTERNET и ACCESS_NETWORK_STATE, во многих приложениях запрашивался доступ к следующим API:

  • Чтение и запись на внешние носители: Betternet, Free VPN org, OneVPN, X-VPN, StarVPN, VPN One Click, Yoga VPN, AppVPN, ProXPN, Seed4me VPN, oVPNSpider, Goose VPN, SpyOFF, TouchVPN, SwitchVPN, Trust Zone, McAfee VPN, SurfEasy, Psiphon, TigerVPN, Dash VPN, Hotspot Shield, NordVPN, Hola VPN, SurfShark, VPN Secure, Zoog VPN;
  • Получение сведений о точном местоположении пользователя: Yoga VPN, VPN Unlimited, ProXPN, Seed4me VPN, oVPNSpider, SwitchVPN, Dash VPN, Hola VPN, Zoog VPN;
  • Получение сведений о приблизительном местоположении: (WindScribe, Free VPN org, Yoga VPN, HideMyAss, Avast VPN, AVG VPN, iVPN, ProXPN, oVPNSpider, TouchVPN, SwitchVPN, Kaspersky VPN, Psiphon VPN, Speedify, Dash VPN, Zoog VPN);
  • Загрузка информации о состоянии телефона (телефонный номер, сотовый оператор, статус исходящих вызовов): Avira VPN, Free VPN org, Norton Secure VPN, VPN One Click, Yoga VPN, HideMyAss, AVG VPN, ProXPN, Goose VPN, Touch VPN, McAfee VPN, SurfEasy, Kaspersky VPN, Speedify, Dash VPN, Hotspot Shield, ibVPN, Hola VPN;
  • Возможность изменения системных настроек: Hide.me, Speedify, Yoga VPN;
  • Доступ к системным логам (в том числе к логу звонков): TigerVPN, oVPNSpider;
  • Доступ к пользовательским документам: TigerVPN;
  • Возможность загрузки дампа с состоянием системных сервисов: PureVPN.

По числу опасных полномочий лидирует приложение Yoga VPN (запрос доступа к 6 расширенным API), насчитывающее 5 млн установок. На втором месте proXPN VPN (5). Третье место разделили Hola Free VPN (4), Seed4.Me VPN (4), OvpnSpider (4), SwitchVPN (4) и Zoog VPN (4).

Напомним, что проведённое в 2017 году исследование 283 мобильных приложений с реализаций функций VPN, показало, что в 18% из них не используется шифрование (трафик отправлялся в открытом виде), 84% пропускали IPv6-трафик в обход создаваемого туннеля, 66% напрямую отправляли запросы к DNS, 16% с целью оптимизации модифицировали транзитный HTTP-трафик пользователя (например, для перекодирования изображений), два приложения подставляли свою рекламу в транзитный трафик, одно приложение передавало запросы к интернет-магазинам в партнёрский сервис, четыре приложения устанавливали в систему свои корневые сертификаты для перехвата HTTPS-соединений.

  1. Главная ссылка к новости (https://thebestvpn.com/android...)
  2. OpenNews: Mozilla экспериментирует с добавлением платного VPN в Firefox
  3. OpenNews: Для включения в состав ядра Linux предложен VPN WireGuard
  4. OpenNews: Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8.7 млн пользователей
  5. OpenNews: 20% VPN раскрывают внутренний IP-адрес пользователя через WebRTC
  6. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50250-vpn
Ключевые слова: vpn, android
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (43) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, КО (?), 11:13, 05/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    Можно подумать, что это относится к приложениям типа VPN.
    Это они еще фонарики не анализировали. :)
     
     
  • 2.2, Аноним (2), 11:20, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Фонарику нужно писать в системные логи: в такое-то фремя фонарик был включен. И возможность отрывать управляющий порт для удалённого включения/отключеия фонарика.
     
     
  • 3.8, Мимокрокодил (?), 12:00, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Хрень оказалась все эти разрешения, не говорится в них что для чего и можно использовать как во благо так и во вред. Вон tinc'у камера нужна, full mesh VPN'у камера, дичь какая, казалось бы. Вообще-то очень многим ведроид-приложениям нужна, я не хочу руками вбивать, я хочу QR-Code.
    А логи куда писать, а конфиги откуда читать? Короче надо что-то в консерватории менять.
     
     
  • 4.11, DerRoteBaron (ok), 13:07, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А логи куда писать, а конфиги откуда читать?

    В нормальной ситуации в /data/data/{package.name}/
    Но вот экспортировать/импортировать их без доступа к хранилищу проблематично.

    > я хочу QR-Code

    а тут модель разрешений ведроида страдает. Здесь нужно бы отдельное API для работы с QR-кодами или хотя бы вариант однократного разрешения доступа к камере.

    > для чего и можно использовать как во благо так и во вред

    Именно. Поэтому следует по умолчанию считать, что во вред. Особенно с тем, что разрешения автоматически при обновлении не отзываются, а с политиками автообновления и возможностью продать приложение на сторону вероятность в очередной версии получить зловреда, использующего эти разрешения в своих целях весьма велика.

     
     
  • 5.45, www2 (??), 09:58, 05/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Здесь нужно бы отдельное API для работы с QR-кодами или хотя бы вариант однократного разрешения доступа к камере.

    Приложениям, которым нужна картинка, непосредственный доступ к камере не нужен. Можно запросить приложение, имеющее доступ к камере, дать картинку. При этом человек во-первых увидит, что был запрос к камере, во-вторых сможет, например, у фотографии лишние края обрезать и перегнать её в чёрно-белый формат при поможи приложения, специально предназначенного для работы с камерой. Человек вообще сможет выбрать картинку с QR-кодом из какого-нибудь хранилища, в которое эта картинка была сохранена из мессенджера, в который эту фотку прислал другой человек со своего устройства.

    Всякие фильтры и операции над катинками, операции персылки фоток с другого устройства в каждое приложение встраивать не нужно. В андройде для этого есть механизм интентов.

     
  • 2.16, Аноним (16), 13:49, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В андройде фанарик включается только включением модуля камеры.
     
     
  • 3.24, имя (?), 16:23, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, особенно фонарики категории «целиком белый экран».
     

  • 1.3, анон (?), 11:24, 05/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    грустно конечно.
    покупайте за копейки vps-ку, ставьте туда vpn l2tp и везде будете иметь свое теплое, ламповое, универсальное.
     
     
  • 2.13, maks (??), 13:23, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Покупайте <какое-то странное слово>, ставьте туда <хз что вообще, какой-то набор букв явно случайных> и будете иметь своё теплое, ламповое, универсальное.

    Так видит подавляющее большинство пользоветелей VPN твою фразу. Не удивлюсь, если даже не все анонимусы поняли суть фразы. Ну а в целом - да. Самый лучший провайдер - ты сам.

     
     
  • 3.15, el (??), 13:43, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    кому надо - те поймут
     
     
  • 4.25, рэмзэн95к (?), 16:37, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    кто не понял тот поймёт
     
     
  • 5.40, Аноним (40), 09:05, 06/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Но не сразу ;)
     
  • 2.18, пох (?), 14:15, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    лыко для плетения лаптей - в лесу тоже самому драть?

    (тут вон специальный ботинок для некоего вида спорта взял и скосплеил слиппер - подошва отвалилась, следов клея нет - видимо, потому и отвалилась, что для по жизни вечномокрой обуви выбрали водорастворимый клей - и это не невезение, так у большинства производителей)

    но, боюсь, воспроизвести на коленке натуральным хозяйством все современное производство и все сервисы немножечко безнадежная затея.

    вот может если вместо этого ввести показательные порки кнутом...

     
  • 2.19, Аноним (19), 14:43, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Нежданчик от hideme, однако. Надо отключаться.
     
     
  • 3.21, Begemot (??), 15:20, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я бы сказал подляночка. :(
     
  • 3.27, Аноним (27), 17:50, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А вы куда, простите, смотрели при установке?
     
  • 2.26, SysA (?), 17:44, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    A ничего, что многие, если не все, хостеры в договоре прописывают запрет ВПН и проксирования?.. ;)
     
     
  • 3.28, трурль (?), 18:06, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ничего. Читайте внимательнее, какое именно проксирование запрещают: публичное без пароля. Для личного пользования — пожалуйста.
    Во всяком случае, у тех дешманских тарифов, с которыми я имел дело.
     

  • 1.4, бублички (?), 11:34, 05/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    в GooglePlay знаю лишь 2 VPN приложения - OpenVPN Connect и strongSwan VPN Client. остальное всё от лукавого
     
     
  • 2.5, wg0 (?), 11:42, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А как же wireguard?
     
     
  • 3.6, Мимокрокодил (?), 11:53, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И tinc.
     
     
  • 4.7, A (?), 11:59, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Cisco AnyConnect?
     
     
  • 5.39, Мимокрокодил (?), 08:45, 06/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Где скачать? На Mi A1 норм запустится?
     
     
  • 6.43, Аноним (43), 12:30, 10/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Где скачать

    Проще всего на внутреннем сайте своего или друга работодателя. В инете найти тоже можно, но гораздо дольше.

     
  • 2.9, iPony (?), 12:44, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ProtonVPN вроде бы как относительно доверяемое
     
     
  • 3.14, Аноним (-), 13:29, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +9 +/
    ProtonVPN классная вещь, но на моем старом андроеде 4й версии приходится юзать обычный OpenVPN-клиент с серверами ProtonVPN. А так да, приложение они классное сделали.
     
     
  • 4.20, Аноним (20), 15:17, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Там щас активно тестят поддержку WireGuard.
     
  • 4.29, iPony (?), 18:14, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > приходится юзать обычный OpenVPN-клиент

    Я не выдержал его вида на Windows 10 и iOS. Прям жёстко.
    На Linux и macOS GnomeVPN и Tunnelblick вполне нормальные.

     
  • 4.36, Аноним (36), 23:50, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >приходится

    по-моему юзать клиент, не привязаный к сервису - это единственный разумный выбор в данном случае.

     
  • 3.22, Канделябры (?), 15:37, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот вы палите и палите, а загрузка бесплатных серверов всё растёт и растёт. Не рубите сук, так сказать.
     
  • 2.38, EuPhobos (ok), 05:50, 06/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Пользуюсь OpenVPN, с недавнего времени стал просить доступ к местоположению и медиафайлам на устройстве, отключил обновление, ибо и так работает.
     
     
  • 3.41, нонима (?), 10:00, 06/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Попробуй OpenVPN из F-Droid, сильно удивишься, что приложению не требуется никаких разрешений =)
     

  • 1.10, DerRoteBaron (ok), 12:57, 05/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Доступ к носителю понять еще можно. Экспорт конфигураций, импорт сертификатов и всякое такое.
    Если он запрашивается по API23+, конечно
     
  • 1.12, тов. майор (?), 13:20, 05/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Если у вас есть возможность обхода блокировок, это не ваша заслуга, а наша недоработка.
     
     
  • 2.33, Аноним (33), 23:28, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так делом занимайся , а не по карманам тырь
     

  • 1.17, Максим (??), 13:51, 05/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    > Возможность изменения системных настроек
    > Hide.me

    Вот дeрьмо! Годами юзал этот трeш. Интересно, что он мне там наизменял? В любом случае, через неделю подписка закончится, больше не продлю.

     
  • 1.23, ryoken (ok), 16:11, 05/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Познавательно. OneVPN второпях прочёл как OpenVPN, поудивлялся. Значит, ProtonVPN, говорите..?
     
  • 1.30, Аноним (36), 18:32, 05/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >ZOG VPN

    Ничего удивительного.

     
  • 1.32, Аноним (-), 21:00, 05/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Kaspersky VPN

    кто этим пользуется и зачем?

     
     
  • 2.34, Аноним (33), 23:32, 05/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Сексоты Касперского
     

  • 1.35, Аноним (35), 23:44, 05/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    UltraSurf и Астриll всех победили?)))
     
  • 1.37, Аноним (37), 02:16, 06/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    OpenVPN для Андроид из FDroid работает не пыхтит никаких лишних прав не требует
     
     
  • 2.42, Аноним (-), 20:21, 06/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    + 100500
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру