Top10VPN, une publication qui évalue et teste les services VPN, a testé les 100 applications VPN gratuites les plus populaires pour la plateforme. Android, суммарно насчитывающих более 2.5 миллиарда установок (для проверки были взяты 100 бесплатных VPN-приложений, для которых в каталоге Google Play зафиксировано наибольшее число загрузок). Основные выводы:
- 88 des programmes testés présentaient des problèmes ayant entraîné des fuites d'informations. Dans 83 applications, ces fuites étaient dues à l'accès à des serveurs DNS tiers (et non à des serveurs). VPNPar exemple, Google DNS a été utilisé comme fournisseur dans 40 cas et Cloudflare dans 14. Dans 79 applications, la possibilité d'envoyer du trafic en contournant le VPN n'a pas été exclue. Dans 17 applications, plusieurs types de fuites ont été détectés (divulgation des adresses IPv4 et IPv6 d'origine de l'utilisateur aux sites web, fuites DNS et WebRTC).
- Dans 11 applications, l’utilisation de générateurs de nombres pseudo-aléatoires obsolètes a été détectée. L'une des applications n'utilisait pas du tout le cryptage du trafic. 35 applications utilisaient des algorithmes cryptographiques obsolètes (seulement 20 programmes utilisaient des méthodes de hachage fiables). Dans 23 applications, au stade de la création d'un tunnel VPN, les anciennes versions de TLS (antérieures à TLSv3) étaient autorisées à être utilisées pour accéder à un serveur externe, et dans 6 applications, SSLv2 était utilisé.
- 69 programmes ont demandé des autorisations excessives, par exemple, 20 applications ont nécessité l'accès aux données de localisation (ACCESS_*_LOCATION), 46 - à la liste des programmes installés (QUERY_ALL_PACKAGES), 9 - l'accès à l'état du téléphone (READ_PHONE_STATE, entre autres, vous permet pour connaître IMEI et IMSI) , 82 - demandé des identifiants uniques pour l'identification dans les réseaux publicitaires (ACCESS_ADVERTISEMENTS_ID), 10 - essayé d'accéder à la caméra.
- Dans 53 applications, l'utilisation de fonctions propriétaires tierces a été détectée, par exemple, 13 programmes ont utilisé du code pour suivre la localisation, 31 pour obtenir des identifiants pour les réseaux publicitaires, 22 pour vérifier d'autres applications installées.
80 programmes utilisaient des bibliothèques tierces, parmi lesquelles 15 utilisaient des bibliothèques Bytedance (TikTok) et 11 utilisaient des bibliothèques Yandex. - 84 applications incluaient des composants SDK provenant de plateformes marketing ou de réseaux sociaux, tandis que 16 applications incluaient 10 composants de ce type ou plus.
- Dans 32 applications, l'accès aux capacités matérielles et aux capteurs a été identifié, ce qui pourrait conduire à une violation de la vie privée. Par exemple, 15 applications accèdent à la caméra, 7 au microphone et 14 aux mécanismes de localisation tels que le GPS, 14 aux capteurs (gyroscope, capteur de proximité, etc.).
- 71 applications ont transmis des données personnelles à des services tiers, tels que Facebook (47), Yandex (13) et VK (11). 37 applications ont divulgué des identifiants d'appareil à des services tiers, 23 Adresses IP, 61 — identifiants uniques pour le suivi. 19 applications ont envoyé des données de télémétrie avec des informations sur l'appareil et le système aux serveurs du fournisseur VPN, et 56 — à des services tiers tels que Google (39), Facebook (17) et Yandex (9).
- Des logiciels malveillants ont été identifiés dans 19 applications lors de l'analyse par le service VirusTotal, qui utilise plus de 70 antivirus. Dans 18 applications, des connexions à des domaines ont été détectées et dans 13 à des adresses IP incluses dans des listes noires d'hôtes et d'adresses malveillants.
- Dans 93 demandes, des écarts entre les labels de confidentialité déclarés et le statut réel ont été identifiés. 75 candidatures
ont été mal informés sur les méthodes de collecte des données des utilisateurs, 64 - sur l'envoi de données à des services tiers, 32 - sur les méthodes de sécurité utilisées. Sur les 65 applications étiquetées « Pas de partage de données », seules 20 ne permettaient pas l'envoi de données à des services tiers, et sur les 32 applications étiquetées « Pas de collecte de données », seules deux répondaient aux exigences associées.
Source: opennet.ru
