Все бесплатные VPN небезопасны?

Число пользователей VPN в мире превысило 1,5 млрд, причем 77% применяют VPN для личных целей. В России спрос на VPN тоже растет: за 2023 год число пользователей выросло на 37%, а по сравнению с 2021 годом — в 2,5 раза. Большинство ищет бесплатные сервисы, редко задумываясь о фундаментальном противоречии: бесплатное приложение вынуждено монетизироваться за счет рекламы и масштабного сбора данных, в то время как основная функция VPN — обеспечивать безопасность и конфиденциальность, минимизируя утечки информации. Как показал большой тест, проведенный независимым сайтом top10vpn, это противоречие на практике разрешается не в пользу абонентов бесплатного сервиса. Все исследованные популярные VPN-приложения систематически ставят личную информацию под угрозу.

Основную функцию VPN, то есть поддержание зашифрованного канала связи (туннеля) с желаемым сервером, некачественно выполняют 88% проверенных приложений. Они допускают утечки данных из туннеля, а это означает, что интернет-провайдер, системный администратор офисной сети или владелец точки доступа Wi-Fi может частично узнавать, что за интернет-активность ведется пользователем при включенном VPN. Чаще всего это утечки DNS-запросов, по которым можно понять, какие сайты открывает пользователь.

Кроме того, 36% проверенных VPN используют слабое шифрование, а 53% продемонстрировали нестабильность соединения, замедления и обрывы связи. Это не просто неудобство — обрывы связи подвергают риску личные данные. Несмотря на отключение VPN, остальные приложения на смартфоне продолжают работать, и данные распространяются по открытой сети. 

Чтобы точнее подбирать рекламу, большинство цифровых платформ детально следит за своими пользователями, в том числе собирая подробную статистику из установленных приложений. Для этого в само приложение должны быть внедрены библиотеки рекламной платформы, и в проверенных VPN-приложениях таких библиотек нашлось много — 84% VPN содержат «шпионские» трекеры от соцсетей и маркетинговых систем. Так, 71 приложение отправляет персональные данные пользователей на серверы зарубежных социальных сетей, Яндекса и в компании-агрегаторы вроде Kochava.

Система разрешений (permissions) в Android создана как раз для ограничения нежелательного сбора данных. Но VPN-приложения запрашивают множество разрешений, не нужных им для свой основной работы: 10% требуют доступ к камере, 20% — к точному местоположению, 46% собирают полный список установленных приложений. В целом 69% проверенных приложений запрашивают «рискованные» разрешения.

Среди 100 проверенных приложений 19 детектируются антивирусными сканерами как вредоносные, а 18 обращаются к интернет-серверам, имеющим репутацию вредоносных. Авторы исследования подчеркивают, что здесь возможны ложные срабатывания, и результаты не означают, что каждое пятое приложение является вирусом. Но вердикт о вредоносности может быть вынесен за такие функции, как агрессивная демонстрация рекламы (в том числе на экране блокировки и поверх других приложений) или обход системных средств безопасности.

Исследователи отмечают, что почти все бесплатные сервисы VPN делают рекламные заявления вроде «мы не собираем ваши данные» и «мы никуда не передаем ваши данные», но, как правило, это неправда. Специальная маркировка в Google Play, посвященная безопасности данных и обязательная к заполнению всеми разработчиками (data safety label), содержит недостоверную информацию для 93% попавших в исследование VPN-приложений. Если сравнить маркировку в Google Play с полной версией политики конфиденциальности приложения, то обнаружатся большие расхождения: метки 32% приложений утверждают, что приложение не собирает данные, но только в двух случаях политика конфиденциальности это подтверждает. Кроме того, 75% приложений неверно указывают, какие данные будут собраны, 64% — с кем они делятся данными, 32% неверно описывают принятые меры безопасности.

Таким образом, авторы бесплатных VPN-приложений обманывают пользователей даже чаще, чем разработчики других категорий софта — там расхождения возникают, согласно исследованию компании Mozilla, лишь в 80% случаев.

Результаты исследования показывают, что бесплатно оказывать услуги VPN, сохраняя высокое качество и безопасность, не удалось ни одному из его участников. Ни одно из приложений не предлагает одновременно надежный и безопасный канал связи и отсутствие нежелательного отслеживания. Поэтому лучше сразу выбирать платные решения, в идеале сочетающие VPN с дополнительными услугами по защите конфиденциальности. Скоро запускающийся сервис Membrana будет как раз таким — кроме легального и быстрого VPN, в него включены защита от рекламы и слежки, фильтр нежелательных звонков, «одноразовые» email и номера телефонов для временной регистрации и другие полезные функции для активной цифровой жизни.