Mnoho bezplatných VPN sa správa ako spyware, zbiera citlivé informácie o používateľoch. Niekoľko aplikácií zneužíva povolenia a mení nástroje na ochranu súkromia na sledovacie systémy. Vývojári VPN často ospravedlňujú nadmerný prístup zavádzajúcimi vysvetleniami týkajúcimi sa bezpečnosti.
Rastúca popularita bezplatných VPN aplikácií poskytla mobilným používateľom jednoduchý spôsob na ochranu súkromia – avšak nové dôkazy tiež naznačujú, že mnohé z týchto aplikácií môžu robiť opak toho, čo sľubujú.
Výskum od Zimperium zLabs tvrdí, že veľká časť bezplatných VPN pre Android a iOS vyžaduje nadmerné povolenia, používa zastaraný kód a môže vystaviť používateľov rizikám na úrovni sledovania.
Napriek rozsahu zistení správa neprezradila, ktoré aplikácie boli dotknuté, čo používateľov necháva spoliehať sa na vlastnú opatrnosť pri výbere toho, čo považujú za najlepšiu bezplatnú VPN službu.
VPN aplikácia by mala šifrovať a chrániť sieťovú prevádzku, ale mnohé z analyzovaných vykazujú správanie, ktoré si protirečí s týmto účelom.
Niektoré vyžadujú povolenie Androidu „READ_LOGS“, ktoré im umožňuje zobraziť aktivitu v celom systéme, potenciálne im poskytuje prístup k používateľským menám, heslám a osobným správam.
Táto schopnosť ich efektívne mení na spyware, schopný sledovať stlačenia klávesov a vyhýbať sa detekcii mobilných hrozieb.
Iné hľadajú povolenia iOS, ako napríklad „LOCATION_ALWAYS“, ktoré udeľuje 24-hodinové sledovanie GPS, čo umožňuje nepretržité sledovanie pohybu používateľa.
Tieto povolenia, ktoré nemajú žiadne legitímne využitie vo VPN, sa môžu kombinovať s dátami o prevádzke na vytvorenie podrobných profilov online a offline návykov osoby.
Analýza Zimperium zistila mnoho prípadov, keď bezplatné VPN aplikácie vyžadovali „súkromné oprávnenia“, ktoré umožňujú hlboký prístup k operačnému systému zariadenia.
Takéto privilégiá môžu umožniť aplikácii spúšťať kód, extrahovať citlivé údaje alebo získať kontrolu nad zariadením, čo vytvára vážne riziká pre súkromie a bezpečnosť.
Niektoré aplikácie tiež používajú zastarané knižnice OpenSSL, ktoré sú stále zraniteľné voči chybe Heartbleed z roku 2014, čo ukazuje, že mnohí vývojári zanedbávajú dokonca aj základné štandardy záplatovania.
Iné nedokážu správne overiť certifikáty, čo vystavuje používateľov útokom man-in-the-middle, ktoré umožňujú odpočúvanie údajne bezpečnej prevádzky.
Výskumníci tiež našli VPN aplikácie, ktoré vyžadujú povolenia ako „USE_LOCAL_NETWORK“.
To im umožňuje mapovať blízke zariadenia v sieti Wi-Fi, funkcia, ktorá sa viac hodí pre malware ako pre bezpečnostný softvér.
Vývojári niekedy ospravedlňujú takýto prístup tvrdením, že zlepšuje „riešenie problémov s pripojením“, ale v praxi umožňuje skenovanie zariadení a sieťový prieskum.
Niekoľko aplikácií môže dokonca zachytávať snímky obrazovky, čím sa odhaľujú používateľské dáta, ktoré sú viditeľné na obrazovke.
So stovkami VPN, ktoré predstavujú takéto riziká, sa rozdiel medzi bezpečnými a nebezpečnými nástrojmi stáva kritickým.
Bohužiaľ, Zimperium odmietlo zdieľať zoznam týchto VPN, preto musia používatelia pristupovať k bezplatným VPN so skepticizmom.
Taktiež by mali uprednostňovať poskytovateľov, ktorí podstupujú nezávislé audity, jasne zverejňujú svoje zásady ochrany osobných údajov a vyhýbajú sa rušivým povoleniam.
