Бесплатный VPN на Android зачастую обеспечивает меньшую защиту, чем вы могли бы подумать

VPN призвана направлять ваш трафик через зашифрованный туннель, чтобы ни ваш интернет-провайдер, ни кто-либо, прослушивающий сеть Wi-Fi, не мог видеть, чем вы занимаетесь. Но вот в чём загвоздка: с этого момента само приложение VPN может видеть всё. Вы просто переносите своё доверие с интернет-провайдера на компанию, разработавшую приложение. Новое исследование показывает, что многие бесплатные провайдеры не заслуживают такого доверия.
Исследователи из Мичиганского университета, Университета Нью-Мексико и ИИТ Дели протестировали 281 бесплатное VPN-приложение из магазина Google Play на устройствах под управлением Android 14. Они представили результаты, полученные с помощью своей тестовой платформы MVPNalyzer, на конференции по безопасности NDSS; Мичиганский университет опубликовал результаты исследования в июле. Тестируемые приложения, в которых была обнаружена хотя бы одна уязвимость, в совокупности установлены более 2,4 миллиарда раз.
Пять приложений подвержены взлому через Wi-Fi
Наиболее опасная находка касается пяти приложений, которые загружают свой файл конфигурации в незашифрованном виде. В этом файле указывается, к какому серверу подключается приложение. Если он передаётся по сети в виде открытого текста, злоумышленник, находящийся в той же сети Wi-Fi (например, оператор общественного хотспота), может изменить его по пути и перенаправить соединение на свой собственный сервер. Пользователь видит привычный экран «Подключено», но при этом весь трафик по-прежнему проходит через сервер злоумышленника. Исследователи воспроизвели и подтвердили эту атаку на своих устройствах. Из пяти указанных в отчёте провайдеров двое ответили и пообещали перейти на протокол HTTPS; трое не ответили.
Утечки и средства отслеживания, несмотря на обещания об обратном
29 приложений допускали утечку трафика данных за пределы туннеля. 24 из них раскрывали DNS-запросы, тем самым раскрывая посещённые веб-сайты локальной сети; только на эти приложения приходится около 360 миллионов установок. Шесть приложений допускали утечку всего трафика, а четыре работали с туннелями без какого-либо шифрования.
Особенно тревожным является отслеживание, поскольку многие люди устанавливают VPN именно для того, чтобы предотвратить его. 76 приложений передавали рекламный идентификатор устройства, который рекламодатели используют для отслеживания пользователя в разных приложениях. Более 80 процентов, а именно 246 приложений, связывались с известными рекламными и отслеживающими серверами и отправляли такие данные, как модель устройства, версия операционной системы и размер экрана. По отдельности эти данные безобидны, но в совокупности они формируют «отпечаток», который однозначно идентифицирует устройство. Одно приложение даже передавало точные GPS-координаты. Случай с приложением PromptSnatcher недавно продемонстрировал, насколько легко замаскированное программное обеспечение может тайно вести прослушивание.
Устаревшее шифрование «под капотом»
Исследователи также проанализировали файлы конфигурации OpenVPN 108 приложений. Лишь одно из них соответствовало всем проверенным требованиям безопасности. Около 89 процентов полагались только на один метод аутентификации вместо комбинации пароля и сертификата. Почти каждое пятое приложение использовало слабое или устаревшее шифрование, в том числе старые алгоритмы Blowfish и Triple DES, которые, как известно, имеют уязвимости. Некоторые приложения полностью отключали шифрование внутри туннеля. Общая причина проста: приложения практически не обновляются, а автоматические проверки Play Store позволяют им проскальзывать. Согласно исследованию, значок «Проверено» для приложений VPN служит скорее маркетинговым ходом, чем подлинной гарантией безопасности.
Это не единичный случай
Другие исследования указывают на то же самое. В августе 2025 года Citizen Lab и Аризонский государственный университет обнаружили несколько популярных приложений VPN для Android, общий количество скачиваний которых превышало 700 миллионов, которые тайно были связаны друг с другом, использовали общие жестко запрограммированные пароли и собирали данные о местоположении. В октябре 2025 года компания Zimperium, специализирующаяся на вопросах безопасности, сообщила, что три из примерно 800 протестированных бесплатных VPN-сервисов по-прежнему использовали версию OpenSSL, уязвимую для Heartbleed — уязвимости, исправленной ещё в 2014 году.
Что вы можете сделать самостоятельно
Наиболее серьёзные недостатки — незашифрованные настройки конфигурации и слабые параметры туннеля — не видны со стороны. Именно в этом и заключается проблема. Поэтому лучшая защита — это не рекламируемый протокол, а вопрос о том, кто стоит за приложением. Отдавайте предпочтение провайдерам, которые публикуют результаты недавнего независимого аудита безопасности. С осторожностью относитесь к бесплатным приложениям, которые засыпают вас рекламой. А такие заявления, как «проверено» или «без журналов», рассматривайте как отправную точку, а не как доказательство. Если вы ищете полный список приложений, вызывающих опасения, вы найдёте его в приложении к исследованию.





