VPN xizmatlarini ko'rib chiqadigan va sinovdan o'tkazadigan Top10VPN nashri platforma uchun eng mashhur 100 ta bepul VPN ilovasini sinovdan o'tkazdi. Android, jami 2.5 milliarddan ortiq o'rnatishlar bilan (sinov uchun Google Play katalogida eng ko'p yuklab olishlar qayd etilgan 100 ta bepul VPN ilovasidan foydalanilgan). Asosiy topilmalar:
- Sinovdan o'tgan dasturlarning 88 tasida ma'lumotlar sizib chiqishiga olib keladigan biron bir muammo mavjud edi. 83 ta ilovada oqish uchinchi tomon DNS serverlariga (serverlarga emas) kirish tufayli yuzaga kelgan. VPN(provayder), masalan, 40 ta holatda Google DNS va 14 ta holatda Cloudflare ishlatilgan. 79 ta ilovada VPNni chetlab o'tib trafik yuborish ehtimoli istisno qilinmagan. 17 ta ilovada bir nechta turdagi oqishlar aniqlangan (foydalanuvchining asl IPv4 va IPv6 manzillarini veb-saytlarga oshkor qilish, DNS va WebRTC oqishlari).
- 11 ta ilovada eskirgan psevdor tasodifiy raqamlar generatorlaridan foydalanish aniqlangan. Ilovalardan biri trafikni shifrlashdan umuman foydalanmagan. 35 ta ilova eskirgan kriptografik algoritmlardan foydalangan (faqat 20 ta dastur ishonchli xeshlash usullaridan foydalangan). 23 ta ilovada VPN tunnelini yaratish bosqichida tashqi serverga kirish uchun TLS ning eski versiyalaridan (TLSv3 dan eski) foydalanishga ruxsat berilgan va 6 ta ilovada SSLv2 ishlatilgan.
- 69 ta dastur haddan tashqari ruxsatlarni talab qildi, masalan, 20 ta ilova joylashuv maʼlumotlariga kirishni talab qildi (ACCESS_*_LOCATION), 46 tasi oʻrnatilgan dasturlar roʻyxatiga (QUERY_ALL_PACKAGES), 9 tasi telefon holatiga kirish (READ_PHONE_STATE, boshqa narsalar qatori sizga imkon beradi). IMEI va IMSI-ni aniqlash uchun), 82 - reklama tarmoqlarida identifikatsiya qilish uchun noyob identifikatorlar so'ralgan (ACCESS_ADVERTISEMENTS_ID), 10 - kameraga kirishga harakat qilgan.
- 53 ta ilovada uchinchi shaxslarning mulkiy funksiyalaridan foydalanish aniqlangan, masalan, 13 ta dastur joylashuvni kuzatish uchun koddan, 31 tasi reklama tarmoqlari uchun identifikatorlarni olishda, 22 tasi boshqa oʻrnatilgan ilovalarni tekshirishda foydalangan.
80 ta dastur uchinchi tomon kutubxonalaridan foydalangan, shulardan 15 tasi Bytedance (TikTok) kutubxonalaridan va 11 tasi Yandex kutubxonalaridan foydalangan. - 84 ta ilova marketing platformalari yoki ijtimoiy tarmoqlardagi SDK komponentlarini, 16 ta ilova esa 10 yoki undan ortiq shunday komponentlarni o‘z ichiga olgan.
- 32 ta ilovada maxfiylikning buzilishiga olib kelishi mumkin bo'lgan apparat imkoniyatlari va sensorlariga kirish aniqlandi. Masalan, 15 ta ilova kameraga, 7 tasi mikrofonga va 14 tasi GPS kabi joylashuv mexanizmlariga, 14 tasi datchiklarga (giroskop, yaqinlik sensori va boshqalar) kirish imkonini beradi.
- 71 ta ilova shaxsiy ma'lumotlarni Facebook (47), Yandex (13) va VK (11) kabi uchinchi tomon xizmatlariga yubordi. 37 ta ilova qurilma identifikatorlarini uchinchi tomon xizmatlariga oshkor qildi, 23 tasi IP manzillar, 61 — kuzatuv uchun noyob identifikatorlar. 19 ta ilova VPN provayderining serverlariga qurilma va tizim ma'lumotlari bilan telemetriyani va 56 tasi — Google (39), Facebook (17) va Yandex (9) kabi uchinchi tomon xizmatlariga yubordi.
- 19 dan ortiq antiviruslardan foydalanadigan VirusTotal xizmati tomonidan skanerdan oʻtkazilganda 70 ta ilovada zararli dastur aniqlangan. 18 ta ilovada domenlarga ulanish, 13 tasida esa zararli xostlar va manzillar qora roʻyxatiga kiritilgan IP manzillar aniqlangan.
- 93 ta arizada eʼlon qilingan maxfiylik belgilari va haqiqiy holat oʻrtasidagi tafovutlar aniqlandi. 75 ta ariza
foydalanuvchilar ma'lumotlarini to'plash usullari, 64 - uchinchi tomon xizmatlariga ma'lumotlarni yuborish, 32 - foydalanilgan xavfsizlik usullari haqida noto'g'ri ma'lumot berilgan. “Ma’lumot almashish yo‘q” deb belgilangan 65 ta ilovadan faqat 20 tasi ma’lumotlarni uchinchi tomon xizmatlariga yuborishga ruxsat bermagan va “Ma’lumotlar yig‘ilmagan” deb belgilangan 32 ta ilovadan faqat ikkitasi tegishli talablarga javob bergan.
Manba: opennet.ru
