Bezpečnostní výskumníci našli odtlačky ruskej siete v 12 bezplatných VPN dostupných v obchodoch Google a Apple a čínske stopy v šiestich. Predpokladá sa, že päť z týchto VPN má tiež väzby na firmu so sídlom v Šanghaji, ktorá má údajné prepojenie s čínskou armádou. Hoci sieťové odtlačky nemusia nevyhnutne signalizovať čínske alebo ruské vlastníctvo, odborníci odporúčajú opatrnosť.
Dvanásť bezplatných VPN služieb dostupných v oficiálnych obchodoch Google Play a Apple App Store môže mať väzby na Rusko a šesť na Čínu.
Toto sú zistenia bezpečnostných výskumníkov z Comparitech, ktorí analyzovali 24 VPN a našli ruské a čínske sieťové odtlačky celkovo v 12 aplikáciách. Dve z nich (Turbo VPN, VPN Proxy Master) tiež obsahujú čínske alebo ruské SDK (sady na vývoj softvéru), ktoré sú podľa odborníkov „jasnými ukazovateľmi, že SDK bola do aplikácie úmyselne zabalená.“
Odborníci nadväzujú na prácu tímu z Tech Transparency Project, ktorý v apríli odhalil, že milióny bezplatných používateľov VPN v 20 aplikáciách mohli posielať svoje dáta do Číny bez toho, aby o tom vedeli. Pri tej príležitosti odborníci zistili, že Turbo VPN a VPN Proxy Master, spolu s tromi ďalšími službami (Thunder VPN, Snap VPN a Signal Secure VPN), majú väzby na firmu so sídlom v Šanghaji, o ktorej sa predpokladá, že má prepojenie s čínskou armádou.
Napriek tomu, že tieto stopy nemusia nevyhnutne signalizovať ruské alebo čínske vlastníctvo, odborníci odporúčajú súčasným používateľom, aby boli opatrní, pokiaľ ide o ochranu osobných údajov.
„Čína aj Rusko nútia lokálne vlastnené VPN, aby sa zaregistrovali u vlády a dodržiavali miestne zákony, čo môže mať vplyv na súkromie používateľov. Z tohto dôvodu žiadna čínska alebo ruská VPN nemôže ponúknuť dôveryhodnú službu ‚bez záznamov‘, čo je jediný typ VPN, ktorý odporúčame,“ napísali výskumníci.
Ktoré aplikácie sú ovplyvnené?
Ovplyvnené VPN aplikácie sa dajú rozdeliť do troch skupín:
Šesť komunikuje s čínskymi doménami: Signal Secure VPN (Android), Turbo VPN (Android), VPN Proxy Master (Android), Snap VPN (Android), Now VPN (iOS) a Ostrich VPN (iOS). Osem aplikácií pre Android komunikuje s ruskými IP adresami: QuarkVPN, VPNify, Signal Secure VPN, Turbo VPN, VPN Proxy Master, Snap VPN, VPN Free a Proxy Master. Štyri aplikácie pre iOS komunikujú s ruskými doménami: NowVPN, WireVPN, FastVPN Super, VPN – Fast VPN Super s doménami Apple.com hostovanými v Rusku, ale iba posledné dve majú aj iné ruské domény tretích strán.
Štyri VPN aplikácie pre Android (Signal Secure VPN, Turbo VPN, VPN Proxy Master a Snap VPN) majú väzby na čínske aj ruské domény.
Celkovo „Apple neuvádza žiadnu z VPN aplikácií, ktoré vo svojich verziách pre Android komunikujú s ruskými doménami tretích strán. Na základe toho sa zdá, že Apple je prísnejší, pokiaľ ide o odstraňovanie VPN prepojených s Ruskom, ako tých prepojených s Čínou,“ napísali odborníci.
Čo to znamená pre vaše súkromie?
Zatiaľ čo najlepšie VPN služby sľubujú zvýšenie online súkromia šifrovaním vašej online komunikácie a prácou so striktnými zásadami neprihlásenia, Čína aj Rusko ukladajú väčšiu kontrolu a požiadavky na uchovávanie dát pre domáce VPN.
Ako už bolo spomenuté, stopy, ktoré výskumníci našli, nemusia nevyhnutne naznačovať čínske a ruské vlastníctvo. Napriek tomu „to môže byť ukazovateľ potenciálnych väzieb, najmä v kombinácii s inými signálmi,“ ako je čínsky alebo ruský SDK, metadáta vydavateľa alebo podobné správanie.
Na praktickej úrovni to znamená, že aplikácia môže smerovať niektoré dáta alebo protokoly cez servery umiestnené buď v Číne, alebo v Rusku. Zahraničné SDK, najmä, by mohli signalizovať hlbšiu kontrolu alebo pôvod vývoja, podľa odborníkov.
Spravidla by ste sa mali vyhýbať neovereným bezplatným VPN aplikáciám, bez ohľadu na ich vlastníctvo, pretože vás môžu vystaviť všetkým druhom rizík pre súkromie a bezpečnosť – od invazívneho sledovania reklám až po malware a dokonca aj zahraničný dohľad.
chiara.castro@futurenet.com (Chiara Castro)
