VPN xidmətlərini nəzərdən keçirən və sınaqdan keçirən nəşr olan Top10VPN, Android platforması üçün cəmi 100 milyard quraşdırma ilə 2.5 ən populyar pulsuz VPN tətbiqini sınaqdan keçirdi (sınaq üçün 100 pulsuz VPN tətbiqi götürüldü, onların ən çoxu bu idi. Google Play kataloqu yükləmələrində qeydə alınmışdır). Əsas nəticələr:
- Test edilmiş proqramların 88-də məlumat sızmasına səbəb olan bir növ problem var idi. 83 tətbiqdə sızmalar üçüncü tərəf DNS serverlərinə (serverlərə deyil) daxil olmaq səbəbindən baş verdi. VPN(provayder), məsələn, 40 halda Google DNS, 14 halda isə Cloudflare istifadə edilmişdir. 79 tətbiqdə VPN-i keçərək trafik göndərmə ehtimalı istisna edilməmişdir. 17 tətbiqdə bir neçə növ sızma aşkar edilmişdir (istifadəçinin orijinal IPv4 və IPv6-sını veb saytlara ifşa etmək, DNS və WebRTC sızmaları).
- 11 tətbiqdə köhnəlmiş psevdor-təsadüfi nömrə generatorlarının istifadəsi aşkar edilib. Tətbiqlərdən biri ümumiyyətlə trafik şifrələməsindən istifadə etməyib. 35 proqram köhnəlmiş kriptoqrafik alqoritmlərdən istifadə etdi (yalnız 20 proqram etibarlı hashing metodlarından istifadə etdi). 23 proqramda VPN tunelinin yaradılması mərhələsində TLS-in köhnə versiyalarından (TLSv3-dən köhnə) xarici serverə daxil olmaq üçün, 6 proqramda isə SSLv2-dən istifadə etməyə icazə verilib.
- 69 proqram həddindən artıq icazə tələb etdi, məsələn, 20 proqram yer məlumatlarına giriş tələb etdi (ACCESS_*_LOCATION), 46 - quraşdırılmış proqramlar siyahısına (QUERY_ALL_PACKAGES), 9 - telefon vəziyyətinə giriş (READ_PHONE_STATE, digər şeylər arasında sizə imkan verir. IMEI və IMSI-ni tapmaq üçün) , 82 - reklam şəbəkələrində identifikasiya üçün unikal identifikatorlar tələb olundu (ACCESS_ADVERTISEMENTS_ID), 10 - kameraya daxil olmağa çalışdı.
- 53 proqramda üçüncü tərəfin mülkiyyət funksiyalarından istifadə aşkar edilib, məsələn, 13 proqram məkanı izləmək üçün koddan, 31-i reklam şəbəkələri üçün identifikatorların əldə edilməsində, 22-si digər quraşdırılmış proqramları yoxlamaq üçün istifadə edib.
80 proqram üçüncü tərəflərin kitabxanalarından istifadə edib, onlardan 15-i Bytedance (TikTok) kitabxanalarından, 11-i isə Yandex kitabxanalarından istifadə edib. - 84 tətbiqə marketinq platformalarından və ya sosial şəbəkələrdən SDK komponentləri, 16 tətbiqə isə 10 və ya daha çox belə komponent daxildir.
- 32 tətbiqdə məxfiliyin pozulmasına səbəb ola biləcək aparat imkanlarına və sensorlara giriş müəyyən edilib. Məsələn, 15 proqram kameraya, 7-si mikrofona və 14-ü GPS kimi yerləşmə mexanizmlərinə, 14-ü sensorlara (giroskop, yaxınlıq sensoru və s.) daxil olur.
- 71 tətbiq şəxsi məlumatları Facebook (47), Yandex (13) və VK (11) kimi üçüncü tərəf xidmətlərinə göndərib. 37 tətbiq cihaz identifikatorlarını üçüncü tərəf xidmətlərinə açıqlayıb, 23 IP ünvanları, 61 — izləmə üçün unikal identifikatorlar. 19 tətbiq VPN provayderinin serverlərinə cihaz və sistem məlumatları ilə telemetriya, 56 tətbiq isə Google (39), Facebook (17) və Yandex (9) kimi üçüncü tərəf xidmətlərinə göndərib.
- 19-dən çox antivirusdan istifadə edən VirusTotal xidməti tərəfindən skan edildikdə 70 proqramda zərərli proqram müəyyən edilib. 18 tətbiqdə domenlərə, 13-də isə zərərli hostların və ünvanların qara siyahısına daxil edilmiş IP ünvanlarına qoşulmalar aşkar edilib.
- 93 müraciətdə elan edilmiş məxfilik etiketləri ilə faktiki status arasında uyğunsuzluqlar müəyyən edilib. 75 müraciət
istifadəçi məlumatlarının toplanması üsulları, 64-ü üçüncü tərəf xidmətlərinə məlumatların göndərilməsi, 32-si istifadə olunan təhlükəsizlik üsulları haqqında yanlış məlumatlandırılıb. “Məlumat Paylaşımı Yoxdur” etiketli 65 proqramdan yalnız 20-si məlumatların üçüncü tərəf xidmətlərinə göndərilməsinə icazə verməyib və “Məlumat Toplanması yoxdur” etiketli 32 proqramdan yalnız ikisi əlaqəli tələblərə cavab verib.
Mənbə: opennet.ru
