- В 61 приложении (22%) выявлена передача данных без использования шифрования, осуществляемая вне установленного туннеля.
Большинство приложений из этой категории пользуются популярностью и в среднем насчитывают 11 млн установок. В 18 приложениях осуществлялось прямое обращение к сервису ip-api.com для определения местоположения по IP-адресу клиента.В 5 случаях без шифрования клиенту передавались файлы конфигурации, содержащие параметры подключения к VPN-серверу. Исследователи провели эксперимент и подтвердили возможность проведения MITM-атаки, позволяющей перенаправить трафик на свой сервер, имея возможность вклинится в канал связи жертвы, например, подключившейся к подконтрольной атакующему публичной беспроводной сети. Проблемные приложения (полный список всех приложений, в которых выявлены проблемы, приводятся на 17 странице PDF-отчёта):
- BambooVPN: Turbo Fast VPN (free.vpn.unblock.proxy.bamboovpn);
- VPN Pro (com.nebulatech.voocvpnpro);
- Free VPN (com.appoxide.freevpn);
- Hexa VPN (com.secure.vpn.proxy);
- 101 VPN (com.shwe.vpn101).
Исследователи уведомили о проблемах авторов данных приложений и спустя какое-то время провели повторную проверку самых свежих версий, которая показала, что уязвимость устранена только в двух приложениях — VPN Pro и Hexa VPN.
- При работе 29 приложений (10%) возникает утечка трафика за пределы установленного туннеля. В 24 приложениях, насчитывающих 360 млн установок, происходила утечка сведений о посещаемых сайтах из-за прямой отправки DNS-запросов (20 отправляли DNS-запросы через локальный резолвер, а 6 через публичные DNS-сервисы Google, Cloudflare, AliDNS и DNSPod). В 6 приложениях, насчитывающих 54 млн установок, была выявлена отправка вне туннеля трафика, связанного с работой пользователя в web-браузере. В 4 приложениях данные передавались через нешифрованный туннель.

- В 169 приложениях (60%) не применялась обфускация трафика, использовались типовые сетевые порты и отслеживаемые в общем потоке протоколы. Подобное поведение расходится с ожиданиями пользователей — в соответствии с опросом, проведённым в прошлом году, 82% пользователей VPN считают, что VPN обеспечивает им анонимность.
- В 76 приложениях (27%) передавались уникальные для устройств идентификаторы AAID (Android Advertising ID), позволяющие отслеживать устройства и пользователей. В 246 приложениях (87%) зафиксировано обращение к известным рекламным сетям и сервисам отслеживания пользователей (всего зафиксировано обращение по 3714 разным URL). Одно приложение отправляло точные GPS-координаты устройства.

- В 107 приложениях (38%) применялись настройки, не обеспечивающие оптимальный уровень безопасности. В 20 приложениях, в сумме насчитывающих 40 млн установок, применялись небезопасные методы шифрования. В 96 приложениях, насчитывающих 728 млн установок, использовались ненадёжные механизмы аутентификации.
В 3 приложениях в настройках OpenVPN параметр data-ciphers был выставлен в значение «none», допускающее установку каналов связи без шифрования. В 8 приложениях параметр «cipher» был выставлен в значение «none», отключающее шифрование при использовании OpenVPN 2.4 и более ранних версий. В 12 приложениях использовались директивы, объявленные устаревшими. В 61 приложении в конфигурации OpenVPN не были включены директивы для блокирования известных методов атак.
Источник: http://www.opennet.ru/opennews/art.shtml?num=65892
