Istraživanje Citizen Lab-a otkriva da mnoge popularne VPN aplikacije zapravo pripadaju istim kompanijama i dijele ozbiljne bezbjednosne propuste., koje se predstavljaju kao nezavisne usluge, zapravo kontroliše isti mali broj kompanija – i da sve dijele ozbiljne bezbjednosne propuste.

U radu pod nazivom „Hidden Connections: Analyzing Secret Families of VPN Apps“, istraživači Benjamin Mixon-Baka, Jeffrey Nockel i Jedidiah Crandall analizirali su stotine VPN aplikacija sa Google Play prodavnice. Posmatrali su sve – od sličnosti u kodu i mrežnoj komunikaciji, do vlasničkih struktura kompanija. Rezultat: samo nekolicina firmi stoji iza ogromnog broja aplikacija, a pravi vlasnici se često kriju iza različitih brendova.

 

Tri „skrivene porodice“ VPN-ova

 

Istraživači su identifikovali tri velike grupe VPN provajdera:

  • Porodica 1: Innovative Connecting, Autumn Breeze i Lemon Clove – odgovorni za aplikacije kao što su Turbo VPN, VPN Monster i Snap VPN, sa više od 700 miliona preuzimanja. Sve su povezane sa kineskom kompanijom Qihoo 360, koja je pod sankcijama SAD-a zbog bezbjednosnih razloga.
  • Porodica 2: MATRIX MOBILE PTE LTD i ForeRaya Technology Limited, čije aplikacije imaju više od 380 miliona preuzimanja.
  • Porodica 3: Fast Potato Pte. Ltd i Free Connected Limited.

Iako se predstavljaju kao različite usluge, sve koriste Shadowsocks tehnologiju – prvobitno razvijenu za zaobilaženje kineske internet cenzure, a ne za zaštitu privatnosti.

 

Ozbiljni bezbjednosni propusti

 

Istraživanje je otkrilo zabrinjavajuće ranjivosti:

  • Aplikacije koriste zastarjele i nesigurne metode enkripcije, pa su laka meta za hakere.
  • Neke tajno prikupljaju lokaciju korisnika, iako u svojoj politici privatnosti obećavaju suprotno.
  • U dvije „porodice“ VPN-ova pronađena je ugrađena, ista lozinka za sve korisnike. Ako je napadač otkrije, može dešifrovati sav saobraćaj korisnika tih aplikacija.

Analiza je takođe dokazala da ove aplikacije dijele iste servere, što dodatno potvrđuje njihovu povezanost.

Pojedini provajderi – VPN Super Inc., Miczon LLC i Secure Signal Inc. – djeluju kao nezavisni, ali istraživači upozoravaju da, ako je jedna aplikacija iz „porodice“ ranjiva, sve povezane aplikacije postaju podjednako ugrožene.

 

Zašto je važno znati ko stoji iza VPN-a?

 

Citizen Lab naglašava da korisnici imaju pravo da znaju ko upravlja njihovim VPN-om. Studija poziva na:

  • Veću transparentnost VPN provajdera.
  • Striktniju kontrolu Google Play prodavnice u provjeri identiteta developera i bezbjednosti aplikacija.

Poruka istraživanja je jasna: nije svaki VPN pouzdan. I dok korisnici misle da biraju između različitih servisa, u praksi često završavaju u istoj mreži – onoj koja prije prikuplja podatke nego što štiti privatnost.