Відомі як мобільні віртуальні приватні мережі або VPN, програми створюють віртуальний тунель через Інтернет, який маскує віртуальне та фізичне місцеперебування користувача, теоретично роблячи його анонімним для веб-сайтів, які вони відвідують, постачальників зв’язку, які передають їх туди, а також рекламодавців і урядові шпигуни, які попутно намагаються висмоктати інформацію.
Популярні програми, пов’язані з Китаєм, можуть збирати більше даних, ніж TikTok
Дмитро Сизов
У той час як Конгрес розглядає безпрецедентну заборону надзвичайно популярного китайського TikTok через нібито проблеми з безпекою, мільйони американців завантажують на свої телефони розроблені Китаєм програми, які становлять більший ризик для конфіденційності, без протестів з боку законодавців чи регуляторів.
Але експерти роками попереджали, що все, що приховують VPN, вони можуть побачити самі. Це означає, що користувачі, які намагаються не розкривати, хто і де вони, а також що вони роблять в Інтернеті, передають цю саму інформацію VPN. Деякі мережі VPN мають можливість переглядати навіть більше, зокрема зашифрований вміст електронної пошти та банківську інформацію, оскільки вони розміщуються в надійному місці на пристроях користувачів.
Деякі з найпопулярніших VPN вводили споживачів в оману щодо своєї практики, приховуючи своє походження, право власності та місцезнаходження, включаючи додатки, розташовані в Китаї або контрольовані громадянами Китаю, згідно з корпоративними записами, перевіреними The Washington Post, а також інтерв’ю та дослідниками.
«У вас є купа ледачих людей, які називають себе VPN і заробляють гроші на ваших даних, як Google», — сказав Денніс Батчелдер, чия компанія AppEsteem оцінює безпеку програм для антивірусних компаній. «У мене були б застереження щодо мереж VPN у будь-якій країні, яка може сказати вашій компанії, що хоче отримати ваші дані».
Відповідно до китайського законодавства, технологічні компанії можуть бути змушені передати все, що вони мають, державним органам, які цінують внутрішні та міжнародні стеження — одне з головних побоювань, які критики Конгресу підіймають щодо TikTok.
Занепокоєні можливим судовим переслідуванням жінок, які бажають зробити аборт через погані мережі VPN, два демократи, сенатор Рон Уайден від Орегону та конгресмен Анна Г. Ешоо від Каліфорнії, минулого року звернулися до Федеральної торгової комісії з проханням вжити заходів, «особливо щодо тих, хто займається оманливою діяльністю». практики реклами та збору даних». Вони написали голові FTC, що галузь «надзвичайно непрозора, і багато провайдерів VPN використовують, вводять в оману та користуються мимовільними споживачами».
Але інші члени Конгресу загалом мовчали про ризики VPN, навіть від китайських провайдерів, водночас відстоюючи обмеження та повну заборону на TikTok, який має набагато менший доступ до того, що користувачі роблять онлайн.
Частково це може бути пов’язано з тим, що TikTok є надзвичайно помітною мішенню та єдиним брендом, тоді як десятки VPN натовпуються в магазинах додатків і з року в рік змінюють імена, адреси та власників.
«Ми просто схильні не зосереджуватися на речах, поки вони не стануть великими», — сказав колишній виконавчий директор Google із зв’язків з урядом Адам Ковачевич, нині голова торгової групи Chamber of Progress, додавши, що боротьба з TikTok може розпочати ширшу дискусію щодо китайських технологій.
Однак мережі VPN підпадають під більш широкий двопартійний законопроект , представлений сенаторами Марком Р. Ворнером (D-Va.) і Джоном Туном (RS.D) і схвалений Білим домом, який вимагатиме від Міністерства торгівлі оцінювати іноземні техніку та рекомендувати заборони президенту. «Конгресу потрібно відмовитися від існуючої стратегії «вдарити крота» технологіями ворогуючих країн і створити більш систематичний процес для вивчення ризиків національній безпеці та вжиття заходів щодо них», — сказав The Post республіканець Тун.
Уорнер сказав, що китайські VPN є тими додатками, які вимагають системного перегляду, подібного до запропонованого в законопроекті, що дозволить Міністерству торгівлі перевіряти додатки з міркувань національної безпеки.
«Саме тому Конгресу необхідно прийняти Закон про обмеження», — сказав Уорнер The Post. «Міністр торгівлі повинен мати можливість переглядати та вводити пом’якшувальні заходи, необхідні для захисту американців від цих додатків, але наразі вона не має можливості це робити згідно з чинним законодавством».
Конкурентами TikTok є потужні американські компанії з великими витратами, зокрема Facebook від Meta та YouTube від Google. Жодна велика американська компанія не має споживчих VPN як основний напрямок діяльності.
Навпаки, Apple і Google отримують прибуток від додатків VPN, знижуючи ціни продажу в своїх магазинах додатків і продаючи їм рекламу.
Turbo VPN, наприклад, є одним з перших результатів, які з’являються під час пошуку в магазині додатків Google Play за словом «VPN». Його завантажили більше 100 мільйонів разів.
Материнська компанія Turbo VPN, Innovative Connecting, має штаб-квартиру в Сінгапурі та реєстрацію на Кайманових островах. Згідно з даними, протягом останніх кількох років його директорами було кілька громадян Китаю. Як і у випадку з багатьма додатками, немає способу довести, хто або де справжні власники.
Комп’ютерна версія Turbo VPN була однією з кількох служб, які AppEsteem минулого року виявив, що встановлювали кореневі сертифікати , що дозволяло їм повідомляти комп’ютеру про довіру будь-якій авторизованій програмі. Він міг поручитися за підроблену електронну пошту чи чат-програму для вилучення вмісту зі справжніх, але немає жодних доказів, що він коли-небудь це робив. Turbo не відповів на електронний лист із запитом на коментар.
Ще дві з перших шести VPN-сетей Google належать організації під назвою Signal Lab. Хоча багато хто може асоціювати це з додатком Signal, який захищає конфіденційність, зв’язку немає.
Signal Lab має веб-сайт, на якому немає ознак того, яка компанія стоїть за ним. У ньому вказано адресу поблизу Лос-Анджелеса, якою користуються сотні організацій. Єдиний спосіб зв’язатися з лабораторією Signal — через адресу Gmail, де запит на публікацію тижнями залишався без відповіді. Співробітники розповіли давньому досліднику Саймону Мільяно, який пише для Top10VPN.com, що він справді працював із Гонконгу.
У політиці конфіденційності Signal Lab зазначено, що її VPN не зберігають журнали активності користувачів. Але його умови використання забороняють надсилати будь-які повідомлення, які є «небажаними», термін, який можна застосувати до більшої частини Інтернету. Він залишає за собою право відстежувати діяльність для розслідування «будь-яких можливих порушень» умов надання послуг. У сукупності це означає, що він може стежити за діяльністю будь-якого користувача на предмет будь-яких підозрюваних небажань.
Apple App Store представляє подібні проблеми. З перших 10 результатів пошуку «VPN» у нещодавньому пошуку один був із Гонконгу, а ще три належали бостонській Aura, яка тепер є материнською компанією VPN під назвою Hotspot Shield.
У 2017 році Hotspot Shield звернувся до Федеральної торгової комісії зі скаргою від Центру демократії та технологій, у якому говорилося, що, хоча Hotspot стверджував у рекламі, що не зберігав записів справжніх адрес інтернет-протоколів користувачів, він надав ці адреси комерційним партнерам.
Hotspot, який, як стверджував центр, встановлював файли cookie для відстеження на комп’ютерах користувачів, заявив у своїй політиці конфіденційності, що не вважає IP-адреси чи ідентифікатори пристроїв особистою інформацією, навіть якщо обидва можуть бути прив’язані до конкретного користувача. FTC не вжила публічних заходів проти компанії. Компанія Aura залучила кілька раундів венчурного капіталу, і цього місяця найняла актора Роберта Дауні-молодшого в якості рекламодавця. Він не відповів на запит на інтерв'ю.
Ще один із 10 найкращих результатів Apple, VPN - Super Unlimited Proxy, пов’язаний з компанією з китайською історією. Записи Apple свідчать, що вони належать компанії Mobile Jump із Сінгапуру, яка колись мала штаб-квартиру в науково-технологічному парку Dongsheng у Пекіні.
Сінгапурські записи показують, що Mobile Jump належить Free VPN, яка належить VPN Super, яка має ту саму адресу в Редвуд-Сіті, Каліфорнія, що й американська компанія під назвою Super Unlimited. Адреса належить юридичній фірмі, яка, за словами партнера, пропонує послуги розсилки для сотень компаній.
Президентом Super Unlimited є Танудж Чаттерджі, який раніше був топ-менеджером компанії Aura, власника Hotspot Shield. Шість місяців тому Чаттерджі опублікував на LinkedIn, що те, що він назвав одним із своїх додатків, VPN — Super Unlimited Proxy, стало найкращим безкоштовним додатком у магазині Apple, випередивши TikTok та Instagram.
Чаттерджі підтвердив, що Super Unlimited належать великі мережі VPN, і сказав, що, придбавши їх, вони «на той час не мали юридичного зв’язку з Китаєм».
«Ні ми, ні жодна з наших дочірніх компаній не маємо жодного зв’язку з Китаєм; жодні акціонери, операції, код, сервери, дані чи члени команди не перебувають у Китаї чи не пов’язані з Китаєм», — повідомив він електронною поштою.
Захисники прав споживачів кажуть, що Apple і Google повинні не допускати більш сумнівні мережі VPN, особливо ті, які порушують політику великих компаній щодо приховування права власності чи введення користувачів в оману щодо конфіденційності, або принаймні надавати користувачам попередження.
«Це мало бути, щоб магазини додатків хотіли, щоб люди приходили і не знаходили надто підозрілі речі. Для цього має бути ринковий стимул», – сказала Мелорі Кнодел, головний технічний директор Центру демократії та технологій. «Я трохи збентежений, чому вони не роблять більше».
Apple відмовилася обговорювати будь-які програми, згадані в цій статті. У заяві, надісланій електронною поштою, сказано, що «програми VPN — це потужні інструменти, які можна використовувати для відстеження інтернет-трафіку користувачів, тому у нас є суворі вказівки щодо того, що повинні робити розробники програм VPN, щоб бути в App Store».
Google також відмовився обговорювати подробиці. «У Google Play діють правила безпеки користувачів, яких повинні дотримуватися всі розробники, включно з додатками VPN», — сказав прес-секретар Ед Фернандес. «Ми серйозно ставимося до претензій щодо безпеки та конфіденційності до програм, і якщо виявимо, що програма порушує нашу політику, ми вживаємо відповідних заходів».
Обидві компанії стверджували, що їх контроль над ринком додатків не слід послаблювати через антимонопольні проблеми, що є ще одним предметом дебатів у Конгресі, оскільки вони захищають споживачів через процес схвалення продуктів.
Але виробники додатків, регулятори та законодавці вказали на недоліки в процесі перевірки, які не позначали імітаторів і шахрайства в кількох категоріях. Докази в антимонопольному позові Epic Games показали, що навіть співробітники Apple засуджували слабкість її захисту, яку провідний інженер описав як «принести пластиковий ніж для масла в перестрілку».
Зловмисне програмне забезпечення від урядових підрядників Китаю та США протягом багатьох років проникало в, здавалося б, безпечні програми . У 2021 році The Post повідомляв , що майже 2 відсотки найбільших прибутків у магазині Apple були шахраями.
Бізнес VPN є більшим, ніж більшість категорій додатків, причому платні версії часто займають найвищий дохід серед додатків для продуктивності.
«Це ганебна відсутність належної обачності, яку вони роблять у цій сфері», — сказав Мільяно про Apple і Google. Він сказав, що вперше порушив це питання з Apple у 2019 році.
Великі магазини додатків відіграють важливу роль у VPN, як Мільяно, так і Кнодел, сказали через труднощі з отриманням об’єктивної інформації: багато сайтів із оглядами повністю або частково належать провайдерам VPN, включаючи Мільяно.
Мільяно виявив понад 200 мільйонів інсталяцій VPN із китайськими зв’язками, багато з яких були приховані, оскільки бренди стали популярнішими. Деякі покинули китайську штаб-квартиру від однієї ітерації до наступної, а інші замінили керівників.
Експерти кажуть, що безкоштовні VPN, швидше за все, будуть суперечити найкращим практикам конфіденційності, оскільки вони мають додатковий фінансовий стимул збирати інформацію про користувачів, щоб продавати відповідну рекламу.
Consumer Reports два роки тому глибоко досліджував , чи проводили популярні бренди перевірки конфіденційності, які користувачі могли прочитати, витік їхніх IP-адрес або перебільшення безпеки, яку вони могли забезпечити.
Некомерційний журнал також зазначив, що деякі мережі VPN, які стверджували, що не зберігають журналів, зуміли створити їх, коли зіткнулися з юридичними документами, і це викликало запитання щодо деяких власників і керівників.
Серед них було виділено ExpressVPN, один із найпопулярніших для перегляду китайських веб-сайтів. Нині ним володіє Kape Technologies, яка виникла з компанії, відомої розповсюдженням шкідливого програмного забезпечення та в якій на посадах керівників працювали як засуджений генеральний директор зруйнованої криптобіржі Mt. Gox, так і Деніел Геріке, колишній співробітник американської розвідки, який зізнався у зламі американських мереж. під час роботи в Об'єднаних Арабських Еміратах.