VPN для Android — один из самых популярных инструментов для обхода блокировок и защиты приватности в России. Миллионы людей устанавливают эти приложения, чтобы скрыть IP-адрес, смотреть заблокированные сайты или безопасно подключаться к публичному Wi-Fi. Но свежий отчёт Citizen Lab и Университета Аризоны показал: многие из таких сервисов могут не только подставлять пользователей под риск, но и скрывать, кто реально стоит за их инфраструктурой.
Исследование, которое вскрыло правду
Отчёт под названием Hidden Links: Analyzing Secret Families of VPN Apps охватывает сто самых скачиваемых VPN-приложений из Google Play. Учёные исключили американские сервисы и подробно проанализировали исходный код, конфигурации серверов, бизнес-регистрации и метаданные. Результат — 50 приложений удалось объединить в три «семейства», каждое из которых связано с китайскими компаниями. В совокупности эти VPN обслуживают более 700 миллионов пользователей. Ранее уже сообщалось об уязвимости некоторых VPN-пиложений в Google Chrome.
Хардкодированные пароли и уязвимости
Главная находка исследователей — жёстко прописанные пароли для Shadowsocks. Этот инструмент разрабатывался как способ обхода цензуры в Китае, но не как полноценное средство анонимизации.
«Любой сетевой перехватчик может извлечь пароль из кода приложения и расшифровать весь трафик, проходящий через этот VPN»
Hidden Links: Analyzing Secret Families of VPN Apps
Помимо этого:
- некоторые приложения используют устаревшие шифры, например RC4-MD5, которые легко взламываются;
- код скрывает функции сбора метаданных, включая ZIP-код IP-адреса;
- в приложениях не реализована защита от атак типа blind in/on-path, позволяющих злоумышленнику перенаправлять трафик при нахождении в одной сети с жертвой.
Кто стоит за популярными VPN
Семейство A — приложения Innovative Connecting, Autumn Breeze, Lemon Clove (включая VPN Master, Turbo VPN, VPN Proxy Master). Все они используют один и тот же ключ Shadowsocks.
Семейство B — Global VPN, XY VPN, Super Z VPN. Приложения делят между собой серверы и часть кода.
Семейство C — Fast Potato VPN, X-VPN, которые тоже подвержены уязвимостям и собирают данные о местоположении.
Ранее проект Tech Transparency Project связывал эти компании с китайским гигантом кибербезопасности Qihoo 360, который в США находится под санкциями за сотрудничество с военными структурами Китая.
Почему Google не блокирует эти приложения
Согласно отчёту, Google Play полагается на автоматические проверки и не имеет достаточных ресурсов для ручной аналитики связей между разработчиками. А это долгий процесс: приходится сопоставлять бизнес-регистрации, домены, общие библиотеки кода. Между тем Google заработала $28,19 млрд чистой прибыли только во 2 квартале 2025 года, поэтому исследователи считают, что компания могла бы усилить контроль за безопасностью приложений.
Как выбрать безопасный VPN
Если вы пользуетесь VPN, чтобы обойти блокировки или защитить трафик, вам стоит обратить внимание на:
- Прозрачность владельцев — ищите сервисы с публичной информацией о команде и юрисдикции.
- Аудиты безопасности — у проверенных сервисов есть независимые отчёты (например, у Proton VPN или Mullvad).
- Современные протоколы — WireGuard, OpenVPN или собственные решения с открытым кодом, а не Shadowsocks с фиксированными паролями.
- Минимальный сбор данных — хорошие VPN не хранят журналы активности и не отслеживают геолокацию.
- Отзывы сообщества — проверяйте рейтинги на GitHub, Reddit, профильных форумах.
Полезный материал: какой VPN сейчас работает в России — там собраны сервисы, которые пока обходят блокировки и имеют хорошие отзывы.
Вывод
Скандал вокруг Android-VPN ещё раз напоминает: бесплатный или слишком популярный сервис — не всегда лучший выбор. Уязвимости, хардкодированные пароли и скрытая аффилированность с китайскими компаниями ставят под угрозу конфиденциальность миллионов людей.
Если ваша цель приватность, выбирайте проверенные VPN, публикующие отчёты по безопасности и использующие современные методы шифрования. В эпоху массовых блокировок именно осознанный выбор сервисов помогает сохранить анонимность и контроль над своими данными.
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Максим - ведущий тестировщик VPN в проекте vpnRussia, протестировал более 100 VPN-сервисов. С образованием в области информационных технологий, Максим специализируется на анализе и оценке производительности VPN, их безопасности и удобства использования. Его ключевые задачи включают проведение всесторонних тестов VPN-сервисов, выявление уязвимостей и проблем, а также подготовку детальных отчетов для пользователей.