Follow zdnet: Add us as a preferred source on Google.
ZDNET’s major takeovers
- Three VPN families analyzed, linking 18 apps to parent groups.
- Security issues found, including with hard-coded Shadowsocks keys.
- Research shows that many free VPNs may have shady security practices.
A new academic study has uncovered suspicious origins and security vulnerabilities in apps that have collectively been downloaded more than 700 million times from the Google Play Store.
Izvēloties virtuālā privātā tīkla (VPN) pakalpojumu, ir obligāti jāizvēlas viens ar stabilu reputāciju un augstiem drošības standartiem. Ir svarīgi, lai tiktu ieviesta spēcīga šifrēšana, un VPN pakalpojumu sniedzējs ir pazīstams ar to, ka aizsargā savus lietotājus, ātri izveido drošības problēmas un ir caurspīdīgs attiecībā uz to, no kurienes tas nāk un kā tas apstrādā lietotāju datus.
Arī: Labākie VPN pakalpojumi 2025: labākie VPN ātrumam un straumēšanai
Diemžēl ne katrs VPN pakalpojums ir paredzēts šiem principiem, un tas patērētājiem ne vienmēr nav skaidrs, kā uzsvērts jaunā pētījumā, kas publicēts kā daļa no privātuma uzlabošanas tehnoloģiju simpozija (mājdzīvnieki). Līdzautors Benjamins Mixon-Baca, Jeffrey Knockel (no Citizen Lab) un Jedidiah R. Crandall, akadēmiskais raksts ar nosaukumu Slēptās saites: VPN lietotņu slepeno ģimeņu analīze (.Pdf), pēta trīs VPN ģimenes, sašaurinātas no 100 labākajiem VPN, kas pieejami Google Play veikalā.
‘Gandrīz identisks’ Java kods
Neskatoties uz to, ka daudzi no viņiem sevi tirgo kā neatkarīgus VPN, trim ģimenēm, kā norādīts zemāk, ir marķieri, kas norāda uz tādu pašu izcelsmi vai mātes uzņēmumiem:
- Ģimene a – Pakalpojumu sniedzēji: novatoriska savienošana, citronu krustnagliņa, rudens vēsma | VPN ietver: Turbo VPN, Turbo VPN Lite, VPN Monster, VPN Proxy Master, VPN Proxy Master – Lite, Snap VPN, Robot VPN, Supernet VPN
- Ģimene b – Pakalpojumu sniedzēji: Matrix Mobile Pte Ltd, Super Z VPN, instrumentu tehnoloģija, augļu drošības studijas, WildLook Tech Pte. SIA. | VPN ietver: Global VPN, XY VPN, Super Z VPN, Touch VPN – Stable & Secure, VPN Promaster, 3x VPN, VPN INF, MELON VPN
- Ģimene c – Pakalpojumu sniedzēji: FreeConnectedimited, ātrs kartupelis | VPN ietver: X-VPN, ātrs kartupeļu VPN
Ģimenē A, katrā VPN lietotnē bija “gandrīz identisks” Java kods, koplietotas bibliotēkas, aktīvi un infrastruktūra. Ģimene B – dažas no kuras lietotnēm atsaucas uz ģimenes inovatīvo savienojumu savās privātuma politikā – dalās ar VPN IP adresēm. Ģimenes C VPN ir līdzīga kods, tas pats neskaidrības un “kopīga, patentēta protokola ieviešana”.
Arī: Kā VPN palīdz cilvēkiem izvairīties no palielinātas cenzūras – un vēl daudz vairāk
Starp šajās lietotnēs atklātajām drošības problēmām bija grūti kodētu Shadowsocks paroļu izmantošana, ko pētnieki atzīmē “ļauj uzbrucējam atšifrēt šo pakalpojumu sniedzēju klientu trafiku, apdraudot šo pakalpojumu sniedzēju pieprasīto drošību”. Tika atklātas arī ievainojamības pret aklām uzbrukumiem, vāja šifrēšana un vājās puses pret secinājumu uzbrukumiem.
Pat ja daži vai visi šie VPN ir likumīgi, to var uzskatīt par maldinošu praksi neizpaust saites un dalītu infrastruktūru šķietami neatkarīgām lietotnēm.
The researchers note that there may be reasons to try to keep each brand separate, citing development and management costs. However, the security issues uncovered in the study are related to.
Also: Why I Still Recommend NordVPN to Most People in 2025 – Especially with the Latest Update
“App stores like the Play Store are in a challenging position given the scalability limitations around developer verification and identifying software with misleading security features in their store,” the researchers say. “Google offers a security audit badge for VPN apps, but making such a badge mandatory for VPN apps and offering an identity verification badge to developers who go through the identity verification process could provide additional information and protection to users.”
In a small life, there is truly free
If you are using a free or unknown VPN, you need to keep in mind that the VPN server infrastructure costs money, and so in most cases you are trading something else for access.
Also: When you should use a VPN – and when you shouldn’t
Typically, free VPNs will collect, store, and share your data for targeted advertising purposes or otherwise, or they may bombard you with ads to generate revenue. As this study potentially indicates, free or “Lite” VPNs may not be reliable and may have a litany of security issues that can put your personal privacy and data at risk.
If you’re looking to use a VPN to improve your online privacy, we’ve put together a list of our favorite VPNs for 2025 – as well as a guide to some reliable, free VPN services. Fortunately, none of our favorites – including NordVPN, ExpressVPN, Proton VPN, or Surfshark – were involved in this study.
