VPN үйлчилгээг шалгаж, турших чиглэлээр ажилладаг Top10VPN хэвлэл нь Android платформд зориулсан хамгийн алдартай 100 үнэгүй VPN програмыг туршиж үзсэн бөгөөд нийт 2.5 тэрбум гаруй суулгац хийсэн (туршилтын хувьд 100 үнэгүй VPN програмыг авсан бөгөөд хамгийн олон нь). Google Play каталогийн татан авалтад бүртгэгдсэн). Гол дүгнэлтүүд:
- Туршилтад хамрагдсан програмуудын 88 нь мэдээлэл алдагдахад хүргэсэн ямар нэгэн асуудалтай байсан. 83 програмд алдагдлыг гуравдагч талын DNS серверүүд (серверүүд биш) руу хандсантай холбоотойгоор үүсгэсэн. VPN(үйлчилгээ үзүүлэгч) гэх мэтээр Google DNS-ийг 40 тохиолдолд, Cloudflare-г 14 тохиолдолд ашигласан. 79 аппликейшнд VPN-ийг тойрч траффик илгээх боломжийг үгүйсгээгүй. 17 аппликейшнд олон төрлийн алдагдлыг илрүүлсэн (хэрэглэгчийн анхны IPv4 болон IPv6 хаягийг вэбсайтууд руу илчлэх, DNS болон WebRTC алдагдлыг илрүүлэх).
- 11 хэрэглээнд хуучирсан псевдор санамсаргүй тоо үүсгэгч ашигласан нь илэрсэн. Аппликешнүүдийн нэг нь замын хөдөлгөөний шифрлэлтийг огт ашиглаагүй. 35 программ нь хуучирсан криптограф алгоритмыг ашигласан (зөвхөн 20 программ нь найдвартай хэшлэх аргыг ашигласан). 23 программд VPN туннель үүсгэх үе шатанд TLS-ийн хуучин хувилбаруудыг (TLSv3-аас хуучин) гадаад серверт хандахыг зөвшөөрсөн бөгөөд 6 программд SSLv2 ашигласан.
- 69 програм хэт их зөвшөөрөл хүссэн, жишээлбэл, 20 аппликешн байршлын өгөгдөлд хандах шаардлагатай (ACCESS_*_LOCATION), 46 - суулгасан програмуудын жагсаалтад (QUERY_ALL_PACKAGES), 9 - утасны төлөвт хандах (READ_PHONE_STATE, бусад зүйлсийн дотор танд олгоно. IMEI болон IMSI-г олж мэдэхийн тулд) , 82 - зар сурталчилгааны сүлжээнд таних өвөрмөц танигч хүссэн (ACCESS_ADVERTISEMENTS_ID), 10 - камер руу нэвтрэхийг оролдсон.
- 53 программ дээр гуравдагч этгээдийн өмчлөлийн функцийг ашигласан нь тогтоогдсон бөгөөд жишээлбэл, 13 программууд байршлыг хянахын тулд код, 31 нь сурталчилгааны сүлжээний таниулбар авах, 22 нь бусад суулгасан програмуудыг шалгах зорилгоор ашигласан байна.
80 программ нь гуравдагч этгээдийн номын санг ашигласан бөгөөд үүний 15 нь Bytedance (TikTok) номын санг, 11 нь Yandex номын санг ашигласан. - 84 програмд маркетингийн платформ эсвэл нийгмийн сүлжээн дэх SDK бүрэлдэхүүн хэсгүүд орсон бол 16 программд 10 ба түүнээс дээш ийм бүрэлдэхүүн хэсгүүд багтсан байна.
- 32 програмд хувийн нууцлалыг зөрчихөд хүргэж болзошгүй тоног төхөөрөмжийн чадавхи, мэдрэгчийг олж илрүүлсэн. Жишээлбэл, 15 програм нь камерт, 7 нь микрофон, 14 нь GPS гэх мэт байршлын механизм, 14 нь мэдрэгч (гироскоп, ойрын мэдрэгч гэх мэт) юм.
- 71 аппликейшн хувийн мэдээллээ Facebook (47), Yandex (13), VK (11) зэрэг гуравдагч талын үйлчилгээнд илгээсэн. 37 аппликейшн төхөөрөмжийн танигчийг гуравдагч талын үйлчилгээнд задруулсан, 23 IP хаягууд, 61 — мөрдөх өвөрмөц танигч. 19 програм VPN үйлчилгээ үзүүлэгчийн серверүүд рүү төхөөрөмж болон системийн мэдээлэл бүхий телеметрийг, 56 програм Google (39), Facebook (17), Yandex (9) зэрэг гуравдагч талын үйлчилгээ рүү илгээсэн.
- 19 гаруй вирусны эсрэг програм ашигладаг VirusTotal үйлчилгээгээр шалгахад 70 программаас хортой программыг илрүүлсэн байна. 18 аппликешнд домэйнтэй холбогдсон, 13-д нь хортой хост болон хаягийн хар жагсаалтад IP хаягууд орсон байна.
- 93 өргөдөлд зарласан нууцлалын шошго болон бодит байдлын хооронд зөрүү гарсан байна. 75 өргөдөл
Хэрэглэгчийн мэдээллийг цуглуулах аргуудын талаар, 64 нь гуравдагч талын үйлчилгээ рүү өгөгдөл илгээх талаар, 32 нь ашигласан аюулгүй байдлын аргуудын талаар буруу мэдээлэл өгсөн. “Өгөгдөл хуваалцахгүй” гэсэн шошготой 65 програмын зөвхөн 20 нь гуравдагч талын үйлчилгээ рүү өгөгдөл илгээхийг зөвшөөрөөгүй бөгөөд “Өгөгдөл цуглуулах боломжгүй” гэсэн шошготой 32 програмаас зөвхөн хоёр нь холбогдох шаардлагыг хангасан байна.
Эх сурвалж: opennet.ru
