Установили VPN? А на самом деле — новый инструмент китайской армии. Жертва вы и еще 700 миллионов

Специалисты из Университета Нью-Мексико представили масштабный разбор скрытых связей между крупнейшими VPN-провайдерами на Android . В центре работы оказались сервисы, которые маскируют реальное происхождение их владельцев, хотя совокупно установлены более чем на 700 миллионов устройств по всему миру. Анализ показал: за множеством приложений стоят одни и те же структуры, а сами сервисы не только скрывают владельцев, но и имеют одинаковые уязвимости , которые делают обещанную защиту иллюзорной.

Исследование продолжает линию более ранней публикации Tech Transparency Project, которая связывала 5 VPN-сервисов с китайской компанией Qihoo 360 , а через неё — с Народно-освободительной армией Китая (НОАК). Учёные подтвердили эти находки и расширили методологию: они изучали бизнес-регистрации, содержимое APK, доменные записи и сетевой трафик. Одним из ключевых открытий стало использование одинаковых криптографических параметров и даже жёстко вшитых паролей для протокола Shadowsocks в разных приложениях. Такой подход означает, что любой, кто получит пароль из одного клиента, сможет расшифровывать трафик пользователей других сервисов этого «семейства».

В результате работы были выделены три большие группы. В первую вошли Innovative Connecting, Autumn Breeze и Lemon Clove. Их приложения показали почти идентичный код, общую инфраструктуру серверов и одинаковые методы обхода анализа. Все они используют устаревший шифр rc4-md5 и хранят пароль прямо в приложении. Более того, даже без запроса разрешения на геолокацию они собирали почтовые индексы IP-адресов пользователей и передавали их на серверы Firebase, что противоречит собственным политикам конфиденциальности.

Вторая группа включала компании MATRIX Mobile, WILDLOOK Tech, ForeRaya и другие. Здесь также выявлены встроенные пароли, общие IP-адреса серверов и одинаковые модули libredsocks.so и libtun2socks.so, что делает сервисы уязвимыми к атакам «вслепую», позволяющим посторонним вмешиваться в активные соединения. Все серверы этого семейства оказались размещены у одного хостинг-провайдера, что дополнительно подтверждает централизованное управление.

Третья группа, в которую вошли Fast Potato VPN и X-VPN, отличалась собственным протоколом с трафиком через порт 53, маскирующимся под DNS. Но и здесь были найдены одинаковые библиотеки, зашитые ключи и идентичные механизмы защиты от анализа.

Помимо перечисленных групп, исследователи проверили несколько независимых приложений, таких как TetraVPN и Secure VPN. В них тоже встречались ошибки — например, публичные WireGuard -конфиги прямо в ресурсах приложения, — но связи с крупными «семьями» установлены не были.

Общий вывод тревожный: миллионы пользователей доверяют свою переписку и личные данные сервисам, которые изначально строились не для защиты, а скорее для обхода блокировок. Shadowsocks , на котором базируются многие такие клиенты, изначально задумывался как средство обхода цензуры, а не как полноценный механизм обеспечения приватности. Его архитектура требует симметричных ключей и приводит к тому, что жёстко зашитый пароль позволяет расшифровать весь трафик.

Специалисты отмечают, что Google Play сталкивается с серьёзной проблемой — верификация владельцев и аудит безопасности VPN-приложений остаются крайне сложными задачами. Хотя Google предлагает добровольную сертификацию для VPN-сервисов, обязательной проверки владельцев или гарантий безопасности пока нет. Это создаёт риск не только для пользователей, но и для самой платформы, которая распространяет и монетизирует потенциально вредные приложения.

Таким образом, под видом десятков «независимых» сервисов фактически скрываются несколько крупных операторов, использующих общую инфраструктуру, устаревшие шифры и жёстко вшитые пароли. Это ставит под сомнение сами основы доверия к VPN-экосистеме и заставляет пересматривать восприятие таких приложений как средства защиты конфиденциальности.