Может ли бесплатный VPN защитить вас, если сам сливает ваши данные?

Исследователи из Мичиганского университета, Университета Нью-Мексико и Индийского технологического института в Дели проверили 281 популярное бесплатное приложение VPN для Android — и результат получился неутешительным. Суммарно эти приложения установлены более 2,4 миллиарда раз, и в каждом из них нашлась хотя бы одна серьёзная проблема: от утечек трафика до передачи данных без шифрования. Работа была представлена в феврале 2026 года на конференции по безопасности NDSS, а инструмент, с помощью которого проводилась проверка, получил название MVPNalyzer — это первая система для систематического и повторяемого аудита VPN-приложений на Android, своего рода мобильное продолжение более ранней десктопной программы VPNalyzer, разработанной той же лабораторией.
Смысл VPN в том, чтобы скрыть вашу активность от интернет-провайдера — трафик шифруется, и посторонние наблюдатели ничего не видят. Но за это приходится платить доверием: теперь весь ваш трафик видит уже не провайдер, а сам разработчик VPN-приложения. Исследование как раз и пытается ответить на вопрос, оправдано ли это доверие в случае бесплатных приложений из Google Play.
Оказалось, что нет — по крайней мере, не всегда. 29 приложений допускали утечку пользовательского трафика за пределы зашифрованного туннеля, включая DNS-запросы, которые прямо указывают, какие сайты посещает человек. 61 приложение передавало данные открытым текстом, доступным для перехвата любому, кто наблюдает за сетью. А пять приложений скачивали конфигурационные файлы вообще без шифрования — и это оказалось самой опасной находкой всего исследования.
Конфигурационный файл сообщает приложению, к какому серверу подключаться. Если он передаётся в открытом виде, злоумышленник в той же сети — скажем, оператор публичного Wi-Fi в кафе или аэропорту — может перехватить и подменить этот файл на лету, перенаправив соединение на подконтрольный ему сервер. При этом пользователь видит на экране обычный статус «подключено» и ни о чём не подозревает, пока его трафик уходит через чужой сервер. Исследователи не просто описали эту угрозу теоретически, а воспроизвели атаку на реальных устройствах в контролируемых условиях. Из пяти уязвимых разработчиков ответили только двое — оба пообещали перейти на HTTPS, причём один из них дал конкретное обязательство: «безопасно использовать HTTPS с надлежащей проверкой сертификатов». Три оставшихся разработчика на момент публикации так и не отреагировали на уведомление.
Среди 29 приложений с утечками трафика картина такая: 24 из них теряли DNS-запросы (эти приложения вместе набрали около 360 миллионов установок), шесть допускали утечку всего браузерного трафика мимо туннеля, а четыре и вовсе гоняли данные через туннель вообще без какого-либо шифрования.
Отдельная проблема — маскировка VPN-трафика. 169 приложений из 281 никак не пытались скрыть сам факт использования VPN, из-за чего их легко вычисляют и блокируют сетевые операторы или государственная цензура. Почти две трети этих приложений при этом рекламируют себя как средство «обхода блокировок» или «доступа к запрещённому контенту» — обещание, которое на практике не выполняется. Для пользователей из стран, где использование VPN само по себе рискованно, это не мелочь, а вопрос личной безопасности.
Парадоксально, но 246 приложений из 281 — больше 80% — обращались к известным рекламным и трекинговым серверам, хотя главная заявленная функция VPN как раз в защите от слежки. Многие отправляли модель телефона, версию операционной системы и размер экрана, что вместе образует достаточно точный цифровой отпечаток устройства. А одно приложение и вовсе передавало точные GPS-координаты пользователя.
Отдельно исследователи разобрали 108 конфигурационных файлов OpenVPN — уже не в режиме живого трафика, а статическим анализом. Около 89% из них полагались только на один метод аутентификации: либо пароль, либо сертификат, но не оба сразу. Почти каждое пятое приложение использовало устаревшие или слабые алгоритмы шифрования — Blowfish или тройной DES, а в некоторых случаях параметр шифра данных был выставлен в значение «none», то есть шифрование отключалось полностью. Уязвимости в устаревших шифрах давно известны и задокументированы — это CVE-2016-6329 и CVE-2016-2183, обе позволяют злоумышленнику восстанавливать данные из долго открытых соединений.
Корень проблемы, по мнению авторов работы, прост: большинство этих приложений почти не поддерживаются разработчиками, а автоматические проверки Google Play не в состоянии распознать подобные технические огрехи. При этом многие из проблемных приложений находятся в топе результатов поиска, а значки безопасности и статус «Verified», которые Google присваивает VPN-приложениям в своём магазине, по сути работают как маркетинговый инструмент, а не как гарантия реальной защиты.
Это не единичный случай — похожие выводы делали и другие команды. В августе 2025 года исследователи Citizen Lab при Университете Торонто совместно с Университетом штата Аризона обнаружили, что несколько популярных Android VPN-приложений с суммарным числом загрузок более 700 миллионов были тайно связаны между собой: они использовали общие захардкоженные пароли и незаметно собирали данные о геолокации пользователей. А в октябре 2025 года компания Zimperium, специализирующаяся на мобильной безопасности, проверила около 800 бесплатных VPN-приложений и нашла три, которые всё ещё используют уязвимую версию библиотеки OpenSSL, подверженную Heartbleed — уязвимости, залатанной ещё в 2014 году. Многие из проверенных приложений также запрашивали разрешения, значительно превышающие то, что реально нужно для работы VPN.
Три независимых исследования разными методами приходят к одному и тому же: бесплатные VPN-приложения активно продают себя как средство защиты приватности, но по факту нередко построены на слабой технической базе. Проблемы выявляются уже после того, как приложение набирает миллионы установок.
Поскольку такие изъяны — незашифрованная передача конфигурации, слабые настройки туннеля — невозможно заметить обычному пользователю на глаз, исследователи советуют обращать внимание на провайдеров, которые публикуют результаты независимых аудитов безопасности за последнее время, с осторожностью относиться к бесплатным приложениям с чрезмерной рекламой и не воспринимать заявления о «верификации» или политике «no-logs» как доказательство, а скорее как отправную точку для дальнейшей проверки. В приложении к самой научной работе исследователи привели полный список проблемных приложений поимённо.
Команда MVPNalyzer планирует опубликовать инструмент в открытом доступе, чтобы магазины приложений и регуляторы могли проводить собственные проверки. The Hacker News направил запросы в Google — с вопросом, проверяет ли компания отмеченные приложения и как реагирует на критику в адрес значков безопасности и статуса «Verified» — а также самой исследовательской группе, чтобы узнать названия пяти приложений, уязвимых к перехвату туннеля, и подтвердили ли уведомленные разработчики фактическое устранение проблем. Ответы на момент публикации получены не были.


Новое на сайте

Ссылка