В России очень популярны бесплатные VPN. Ими правда опасно пользоваться? Или все-таки можно?

Что вообще сейчас происходит с VPN в России?

Несколько дней назад Apple по требованию Роскомнадзора удалила десятки VPN-приложений из российского App Store. Подобные запросы компания получает уже несколько лет и, как правило, выполняет их. Аналогичные требования РКН предъявляет и магазину Google Play. Но эта компания выполняет их выборочно, из-за чего получает многомиллионные штрафы.

Такими мерами российские власти не ограничиваются. Они регулярно ограничивают популярные VPN (или протоколы, которые они используют), постоянно совершенствуя методы блокировок. А в конце марта придумали еще несколько способов усложнить жизнь россиянам, которые просто хотят сохранить доступ к привычным и удобным международным сервисам.

В такой ситуации и на фоне продолжающейся усиленной блокировки телеграма и прочих популярных ресурсов российские пользователи все чаще устанавливают многочисленные бесплатные приложения, в надежде что хотя бы одно из них поможет обойти ограничения. И редко задумываются о том, что таким образом могут стать жертвами мошенников.

Бесплатные VPN правда опасны?

В июне 2024 года сайт Top10VPN, который тестирует и оценивает такие сервисы, опубликовал исследование, согласно которому 88% бесплатных VPN-сервисов для Android допускают утечки данных, а 71% — передают их третьим лицам. Такие выводы были сделаны на основе тестирования 100 самых популярных приложений в Google Play, которые в совокупности установили во всем мире более 2,5 миллиарда раз.

В качестве «третьих лиц» упоминались, например, Facebook или «Яндекс», которые, вероятно, используют данные для таргетирования рекламы. Впрочем, трекеры этих компаний есть и во множестве других приложений, не связанных с обходом блокировок.

Утечки пользовательских данных, в том числе и довольно крупные, происходят регулярно. Например, в 2020 году в сети в открытом доступе обнаружили 1,2 ТБ данных пользователей семи популярных на тот момент VPN. В базе содержались электронные и домашние адреса, пароли в открытом виде, IP-адреса, а также несколько записей об онлайн-активности, хотя сами сервисы на тот момент утверждали, что не ведут подобные логи. Утечка могла затронуть до 20 миллионов пользователей. Лишь один сервис — UFO VPN — позже сообщил, что отключил ведение логов. Информацию об этом в статью добавили почти пять лет спустя.

В 2023 году эксперт по кибербезопасности Джеремайя Фаулер обнаружил незащищенную базу данных на 133 ГБ, в которой содержалось более 360 миллионов записей. В них, среди прочего, были адреса электронной почты, IP-адреса, записи об используемых серверах, уникальные идентификационные номера пользователей приложения, информация об устройстве, операционной системе и геолокации, запросы на возврат средств и ссылки на посещенные веб-сайты. Почти вся эта информация относилась к пользователям бесплатного приложения SuperVPN.

Впрочем, с такими проблемами могут столкнуться не только пользователи бесплатных сервисов. Другое исследование Top10VPN подтверждало, что из 30 протестированных популярных платных VPN-приложений для Android больше половины допускали утечку данных.

Можно заметить, что проблемы с безопасностью чаще всего обсуждаются именно в контексте Android-приложений (хотя пользователи iOS раньше сталкивались с утечками трафика, причем на уровне операционной системы). Эксперты независимого проекта RKS Global, который проводит исследования в области кибербезопасности, объясняют это особенностями архитектуры ОС Google. Кроме того, дополнительные средства по обеспечению безопасности у Apple работают надежнее.

«На iOS-устройствах в последних версиях операционной системы есть возможность защитить устройство от установки шпионского софта через функцию Lockdown Mode. У Android есть похожая функция, но она не защищает так качественно, как у Apple, — отмечают в комментарии «Бумаге» представители RKS Global. — С другой стороны, исследования VPN-приложений для Android доступны любому человеку, в отличие от iOS, где нужно иметь специализированное устройство Apple Security Research Device для поиска уязвимостей».

То есть пользоваться бесплатными VPN вообще нельзя?

В первую очередь важно определиться с терминологией. У многих крупных сервисов есть бесплатные тарифы, которые позволяют познакомиться с продуктом. Так что бесплатность VPN не означает автоматически, что ему нельзя доверять. Алексей Козлюк, председатель Гильдии VPN, которая занимается защитой цифровых прав и борьбой с интернет-цензурой, предлагает использовать другие критерии для определения надежности сервиса:

«Правильнее смотреть на бизнес-модель, а не просто на цену. Если у сервиса нет понятного источника дохода — подписки, грантов, корпоративных клиентов — то высока вероятность, что пользователь платит своими данными. Такие VPN действительно могут использоваться как воронка для сбора и перепродажи пользовательской информации или таргетированной рекламы. 

Однако бесплатные тарифы крупных сервисов с репутацией — это, как правило, маркетинговый инструмент: пользователь пробует продукт и со временем конвертируется в платного подписчика. Существуют и грантовые VPN, ориентированные на страны с ограниченным доступом к информации, — их бесплатные пользователи субсидируются без необходимости монетизировать их данные. 

Платная подписка сама по себе не гарантия безопасности, но она убирает стимул торговать данными. Утечки у них чаще всего действительно являются следствием целенаправленных атак, а не намеренного сбора — хотя бы потому, что репутация для таких компаний является ключевым активом».

Дополнительным подтверждением надежности сервиса служит независимый аудит безопасности, но позволить его себе могут только крупные компании, добавляет Алексей Козлюк. «Стоимость начинается от десятков тысяч долларов и может доходить до шестизначных сумм. Для большинства малых и средних VPN-сервисов это недосягаемая планка, — добавляет он. — Поэтому на рынке сложилась асимметрия: у таких провайдеров, как Surfshark VPN, Proton VPN, NordVPN или ExpressVPN, есть регулярные публичные аудиты от независимых фирм (Cure53, Deloitte, PWC), а большинство небольших сервисов не проходят аудит вовсе».

Впрочем, у последних тоже есть возможность доказать свою безопасность. Например, приложение с открытым исходным кодом может проверить любой желающий. И, при необходимости, сообщить о возможных уязвимостях или несоответствии заявленным политикам безопасности.

Регулярность подобной проверки очень важна, подчеркивает Козлюк, так как никто не может гарантировать, что последующие обновления ПО не будут содержать новые недочеты. Также нужно обращать внимание на объем: проверяется ли только политика no-logs (то есть отсутствие сбора и хранения данных), или же вся инфраструктура и исходный код.

Что конкретно грозит тем, кто пользуется непроверенными сервисами?

Вероятно, самая распространенная и в то же время наименее опасная угроза — попадание определенных некритичных данных пользователя (к примеру, адреса электронной почты, которую можно узнать и из других источников) в спам-базы. В этом случае в ящике просто вырастет объем бессмысленных писем. Правда, здесь все равно нужно соблюдать осторожность и не переходить по ссылкам в них, так как это может грозить более серьезными последствиями, в том числе кражей более важных данных или заражением устройства.

Многие современные приложения (не только VPN) содержат встроенные рекламные трекеры, которые могут анализировать посещенные ресурсы и составлять портрет пользователя. Впоследствии эти данные могут продать рекламодателям, хотя это тоже не самый плохой вариант. Хуже, когда такая информация попадает к российским компаниям (например, через аналитические модули «Яндекса»), которые обязаны делиться ей с силовым структурам по запросу. Хотя пока такая угроза — скорее теоретическая.

Из-за того, что небольшие бесплатные VPN-сервисы не обладают достаточными средствами для поддержания надежной инфраструктуры, они допускают утечки и конфиденциальных данных. Имея на руках, к примеру, электронный адрес и пароль, злоумышленники могут попробовать получить доступ к другим сервисам, в которых зарегистрирован пользователь, начиная от личных соцсетей и заканчивая финансовыми приложениями.

Наконец, никому не известное VPN-приложение в принципе может быть вредоносным ПО, которое вообще не выполняет заявленных функций, но получает контроль над устройством пользователя.

На что обращать внимание при установке VPN — не важно, платного или бесплатного?

Разработчик. Большинство сервисов созданы разработчиками-одиночками или малоизвестными компаниями, не имеющими никаких следов в сети. Это не доказательство мошенничества, но добиться ответственности за сохранность данных от таких разработчиков практически невозможно. Лучше изучить, есть ли у разработчика или сервиса отдельный сайт, что пишут в отзывах на его сервис на независимых площадках, публикует ли он отчеты о прозрачности своей деятельности, упоминается ли в профильных сообществах.

Информация в магазине приложений. Некоторые разработчики прямо указывают на странице VPN, какие данные они собирают и какой политики безопасности придерживаются. App Store и Google Play говорят о том, что проверяют приложения на соответствие заявленным принципам работы. Это не стопроцентная гарантия безопасности, и недосмотры все же бывают. Поэтому эксперты RKS Global рекомендуют использовать альтернативные инструменты для проверки трекинга (https://reports.exodus-privacy.eu.org/ru/ и https://trackercontrol.org/). Кроме того, в случае с Android приложения лучше скачивать из официального магазина, а не просто APK-файлами с сомнительных сайтов.

Юрисдикция. Лучше заранее выяснить, где зарегистрирован сервис, если есть такая возможность. Законодательства разных стран могут обязывать разработчиков цифровых сервисов хранить данные локально и предоставлять информацию о пользователях при запросах со стороны правоохранительных органов. Отсутствие такой информации в публичном доступе тоже можно считать тревожным сигналом.

Функции и доступы. Уже после установки сервиса необходимо обратить внимание, какие доступы он запрашивает у пользователя, и насколько они оправданы. Также стоит сразу изучить дополнительные функции безопасности, которые он предлагает. Например, есть ли Kill Switch — автоматическая блокировка доступа в интернет при разрыве VPN-соединения, которая позволяет избежать утечки реального IP-адреса.

Рейтинги. Одним из доказательств надежности VPN может служить попадание в рейтинги независимых экспертов. При этом, например, рекомендации специалистов в западных СМИ здесь вряд ли помогут. Дело в том, что ряд крупных сервисов, например, NordVPN или ExpressVPN, фактически не работают в России. Из-за санкций они не принимают оплату российскими картами, а их инфраструктура не выдерживает того уровня блокировок, который действует в стране.

Поэтому полагаться можно только на те VPN, которые разработаны с учетом этих обстоятельств и целенаправленно работают на Россию. Представители RKS Global рекомендуют обращать внимание на рейтинги Гильдии VPN, экспертов VPNLove или проекта «На Связи».

А если срочно нужен VPN, можно ли воспользоваться бесплатным всего один раз?

Иногда в интернете можно встретить такой совет — если вы знаете проверенный и работающий в России VPN, но не можете его скачать по какой-либо причине (например, очередные ограничения РКН), то установите любой бесплатный сервис на один раз и загрузите нужное приложение через него.

Это действительно может иногда помочь. Эксперты RKS Global отмечают, что риски от однократного использования случайного VPN небольшие, и данных они соберут немного. И все же нужно соблюдать определенные правила безопасности.

Прежде всего узнайте, есть ли у нужного вам платного VPN зеркала основного сайта или боты, через которые можно получить к ним доступ напрямую. Довольно часто это помогает избежать установки лишнего и потенциально опасного ПО.

Кроме того, учитывайте, что главный риск при скачивании неизвестного VPN заключается в том, что это может быть троян, который захватит устройство. Чтобы такого не произошло, даже единожды лучше пользоваться бесплатными сервисами с наибольшим количеством позитивных оценок на платформах приложений, избегая тех, где обратной связи совсем немного или она негативная.