The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от opennews (?), 05-Мрт-19, 11:13 
Издание Thebestvpn, специализирующееся на сравнении различных VPN-провайдеров, провело (https://thebestvpn.com/android-vpn-permissions/) анализ полномочий, запрашиваемых приложениями для организации работы через VPN, поставляемыми в каталоге Google Play. Исследование показало, что большинство (https://docs.google.com/spreadsheets/d/1SWfuh5JQQv7Yv7APIUoi...) из проверенных Android-приложений запрашивали полномочия, не имеющие отношения к функциональности VPN.

50 из 81 протестированных VPN-приложений запрашивали доступ к пользовательским данным. Несмотря на то, что для работы VPN-приложения достаточно полномочий INTERNET и ACCESS_NETWORK_STATE, во многих
приложениях запрашивался доступ к следующим API:

-  Чтение и запись на внешние носители: Betternet, Free VPN org, OneVPN, X-VPN, StarVPN, VPN One Click, Yoga VPN, AppVPN, ProXPN, Seed4me VPN, oVPNSpider, Goose VPN, SpyOFF, TouchVPN, SwitchVPN, Trust Zone, McAfee VPN, SurfEasy, Psiphon, TigerVPN, Dash VPN, Hotspot Shield, NordVPN, Hola VPN, SurfShark, VPN Secure, Zoog VPN;

-  Получение сведений о точном местоположении пользователя: Yoga VPN, VPN Unlimited, ProXPN, Seed4me VPN, oVPNSpider, SwitchVPN, Dash VPN, Hola VPN, Zoog VPN;
-  Получение сведений о приблизительном местоположении (WindScribe, Free VPN org, Yoga VPN, HideMyAss, Avast VPN, AVG VPN, iVPN, ProXPN, oVPNSpider, TouchVPN, SwitchVPN, Kaspersky VPN, Psiphon VPN, Speedify, Dash VPN, Zoog VPN);
-  Загрузка информации о состоянии телефона (телефонный номер, сотовый оператор, статус исходящих вызовов): Avira VPN, Free VPN org, Norton Secure VPN, VPN One Click, Yoga VPN, HideMyAss, AVG VPN, ProXPN, Goose VPN, Touch VPN, McAfee VPN, SurfEasy, Kaspersky VPN, Speedify, Dash VPN, Hotspot Shield, ibVPN, Hola VPN;


-  Возможность изменения системных настроек: Hide.me, Speedify, Yoga VPN;
-  Доступ к системным логам: TigerVPN, oVPNSpider;
-  Доступ к пользовательским документам: TigerVPN;
-  Возможность загрузки дампа с состоянием системных сервисов: PureVPN.

По числу опасных полномочий лидирует приложение Yoga VPN (запрос доступа к 6 расширенным API), насчитывающее 5 млн установок. На втором месте proXPN VPN (5). Третье место разделили Hola Free VPN (4), Seed4.Me VPN (4), OvpnSpider (4), SwitchVPN (4) и Zoog VPN (4).

Напомним, что проведённое (https://www.opennet.ru/opennews/art.shtml?num=45940) в 2017 году исследование 283 мобильных приложений с реализаций функций VPN, показало, что в 18% не используется шифрование (трафик отправлялся в открытом виде), 84% пропускали IPv6-трафик в обход создаваемого туннеля, 66% напрямую отправляли запросы к DNS, 16% с целью оптимизации модифицировали транзитный HTTP-трафик пользователя (например, для перекодирования изображений), два приложения подставляли свою рекламу в транзитный трафик,  одно приложение сливало запросы к интернет-магазинам в партнёрский сервис, четыре приложения устанавливали в систему свои корневые сертификаты для перехвата HTTPS-соединений.

URL: https://thebestvpn.com/android-vpn-permissions/
Новость: https://www.opennet.ru/opennews/art.shtml?num=50250

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +19 +/
Сообщение от КО (?), 05-Мрт-19, 11:13 
Можно подумать, что это относится к приложениям типа VPN.
Это они еще фонарики не анализировали. :)
Ответить | Правка | Наверх | Cообщить модератору

2. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +2 +/
Сообщение от Аноним (2), 05-Мрт-19, 11:20 
Фонарику нужно писать в системные логи: в такое-то фремя фонарик был включен. И возможность отрывать управляющий порт для удалённого включения/отключеия фонарика.
Ответить | Правка | Наверх | Cообщить модератору

8. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +2 +/
Сообщение от Мимокрокодил (?), 05-Мрт-19, 12:00 
Хрень оказалась все эти разрешения, не говорится в них что для чего и можно использовать как во благо так и во вред. Вон tinc'у камера нужна, full mesh VPN'у камера, дичь какая, казалось бы. Вообще-то очень многим ведроид-приложениям нужна, я не хочу руками вбивать, я хочу QR-Code.
А логи куда писать, а конфиги откуда читать? Короче надо что-то в консерватории менять.
Ответить | Правка | Наверх | Cообщить модератору

11. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +3 +/
Сообщение от DerRoteBaron (ok), 05-Мрт-19, 13:07 
> А логи куда писать, а конфиги откуда читать?

В нормальной ситуации в /data/data/{package.name}/
Но вот экспортировать/импортировать их без доступа к хранилищу проблематично.

> я хочу QR-Code

а тут модель разрешений ведроида страдает. Здесь нужно бы отдельное API для работы с QR-кодами или хотя бы вариант однократного разрешения доступа к камере.

> для чего и можно использовать как во благо так и во вред

Именно. Поэтому следует по умолчанию считать, что во вред. Особенно с тем, что разрешения автоматически при обновлении не отзываются, а с политиками автообновления и возможностью продать приложение на сторону вероятность в очередной версии получить зловреда, использующего эти разрешения в своих целях весьма велика.

Ответить | Правка | Наверх | Cообщить модератору

45. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от www2 (??), 05-Апр-20, 09:58 
>Здесь нужно бы отдельное API для работы с QR-кодами или хотя бы вариант однократного разрешения доступа к камере.

Приложениям, которым нужна картинка, непосредственный доступ к камере не нужен. Можно запросить приложение, имеющее доступ к камере, дать картинку. При этом человек во-первых увидит, что был запрос к камере, во-вторых сможет, например, у фотографии лишние края обрезать и перегнать её в чёрно-белый формат при поможи приложения, специально предназначенного для работы с камерой. Человек вообще сможет выбрать картинку с QR-кодом из какого-нибудь хранилища, в которое эта картинка была сохранена из мессенджера, в который эту фотку прислал другой человек со своего устройства.

Всякие фильтры и операции над катинками, операции персылки фоток с другого устройства в каждое приложение встраивать не нужно. В андройде для этого есть механизм интентов.

Ответить | Правка | Наверх | Cообщить модератору

16. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от Аноним (16), 05-Мрт-19, 13:49 
В андройде фанарик включается только включением модуля камеры.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

24. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +1 +/
Сообщение от имя (?), 05-Мрт-19, 16:23 
Ага, особенно фонарики категории «целиком белый экран».
Ответить | Правка | Наверх | Cообщить модератору

3. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +7 +/
Сообщение от анон (?), 05-Мрт-19, 11:24 
грустно конечно.
покупайте за копейки vps-ку, ставьте туда vpn l2tp и везде будете иметь свое теплое, ламповое, универсальное.
Ответить | Правка | Наверх | Cообщить модератору

13. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +5 +/
Сообщение от maks (??), 05-Мрт-19, 13:23 
Покупайте <какое-то странное слово>, ставьте туда <хз что вообще, какой-то набор букв явно случайных> и будете иметь своё теплое, ламповое, универсальное.

Так видит подавляющее большинство пользоветелей VPN твою фразу. Не удивлюсь, если даже не все анонимусы поняли суть фразы. Ну а в целом - да. Самый лучший провайдер - ты сам.

Ответить | Правка | Наверх | Cообщить модератору

15. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +1 +/
Сообщение от el (??), 05-Мрт-19, 13:43 
кому надо - те поймут
Ответить | Правка | Наверх | Cообщить модератору

25. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +1 +/
Сообщение от рэмзэн95к (?), 05-Мрт-19, 16:37 
кто не понял тот поймёт
Ответить | Правка | Наверх | Cообщить модератору

40. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от Аноним (40), 06-Мрт-19, 09:05 
Но не сразу ;)
Ответить | Правка | Наверх | Cообщить модератору

18. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  –3 +/
Сообщение от пох (?), 05-Мрт-19, 14:15 
лыко для плетения лаптей - в лесу тоже самому драть?

(тут вон специальный ботинок для некоего вида спорта взял и скосплеил слиппер - подошва отвалилась, следов клея нет - видимо, потому и отвалилась, что для по жизни вечномокрой обуви выбрали водорастворимый клей - и это не невезение, так у большинства производителей)

но, боюсь, воспроизвести на коленке натуральным хозяйством все современное производство и все сервисы немножечко безнадежная затея.

вот может если вместо этого ввести показательные порки кнутом...

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

19. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +4 +/
Сообщение от Аноним (19), 05-Мрт-19, 14:43 
Нежданчик от hideme, однако. Надо отключаться.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

21. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +2 +/
Сообщение от Begemot (??), 05-Мрт-19, 15:20 
Я бы сказал подляночка. :(
Ответить | Правка | Наверх | Cообщить модератору

27. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +3 +/
Сообщение от Аноним (27), 05-Мрт-19, 17:50 
А вы куда, простите, смотрели при установке?
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

26. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от SysA (?), 05-Мрт-19, 17:44 
A ничего, что многие, если не все, хостеры в договоре прописывают запрет ВПН и проксирования?.. ;)
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

28. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +1 +/
Сообщение от трурль (?), 05-Мрт-19, 18:06 
Ничего. Читайте внимательнее, какое именно проксирование запрещают: публичное без пароля. Для личного пользования — пожалуйста.
Во всяком случае, у тех дешманских тарифов, с которыми я имел дело.
Ответить | Правка | Наверх | Cообщить модератору

4. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +1 +/
Сообщение от бублички (?), 05-Мрт-19, 11:34 
в GooglePlay знаю лишь 2 VPN приложения - OpenVPN Connect и strongSwan VPN Client. остальное всё от лукавого
Ответить | Правка | Наверх | Cообщить модератору

5. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +1 +/
Сообщение от wg0 (?), 05-Мрт-19, 11:42 
А как же wireguard?
Ответить | Правка | Наверх | Cообщить модератору

6. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +1 +/
Сообщение от Мимокрокодил (?), 05-Мрт-19, 11:53 
И tinc.
Ответить | Правка | Наверх | Cообщить модератору

7. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от A (?), 05-Мрт-19, 11:59 
Cisco AnyConnect?
Ответить | Правка | Наверх | Cообщить модератору

39. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от Мимокрокодил (?), 06-Мрт-19, 08:45 
Где скачать? На Mi A1 норм запустится?
Ответить | Правка | Наверх | Cообщить модератору

43. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от Аноним (43), 10-Мрт-19, 12:30 
>>> Где скачать

Проще всего на внутреннем сайте своего или друга работодателя. В инете найти тоже можно, но гораздо дольше.

Ответить | Правка | Наверх | Cообщить модератору

9. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от iPony (?), 05-Мрт-19, 12:44 
ProtonVPN вроде бы как относительно доверяемое
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

14. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +9 +/
Сообщение от Аноним (-), 05-Мрт-19, 13:29 
ProtonVPN классная вещь, но на моем старом андроеде 4й версии приходится юзать обычный OpenVPN-клиент с серверами ProtonVPN. А так да, приложение они классное сделали.
Ответить | Правка | Наверх | Cообщить модератору

20. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +5 +/
Сообщение от Аноним (20), 05-Мрт-19, 15:17 
Там щас активно тестят поддержку WireGuard.
Ответить | Правка | Наверх | Cообщить модератору

29. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от iPony (?), 05-Мрт-19, 18:14 
> приходится юзать обычный OpenVPN-клиент

Я не выдержал его вида на Windows 10 и iOS. Прям жёстко.
На Linux и macOS GnomeVPN и Tunnelblick вполне нормальные.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

36. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от Аноним (36), 05-Мрт-19, 23:50 
>приходится

по-моему юзать клиент, не привязаный к сервису - это единственный разумный выбор в данном случае.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

22. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +1 +/
Сообщение от Канделябры (?), 05-Мрт-19, 15:37 
Вот вы палите и палите, а загрузка бесплатных серверов всё растёт и растёт. Не рубите сук, так сказать.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

38. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от EuPhobos (ok), 06-Мрт-19, 05:50 
Пользуюсь OpenVPN, с недавнего времени стал просить доступ к местоположению и медиафайлам на устройстве, отключил обновление, ибо и так работает.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

41. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от нонима (?), 06-Мрт-19, 10:00 
Попробуй OpenVPN из F-Droid, сильно удивишься, что приложению не требуется никаких разрешений =)
Ответить | Правка | Наверх | Cообщить модератору

10. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от DerRoteBaron (ok), 05-Мрт-19, 12:57 
Доступ к носителю понять еще можно. Экспорт конфигураций, импорт сертификатов и всякое такое.
Если он запрашивается по API23+, конечно
Ответить | Правка | Наверх | Cообщить модератору

12. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  –1 +/
Сообщение от тов. майор (?), 05-Мрт-19, 13:20 
Если у вас есть возможность обхода блокировок, это не ваша заслуга, а наша недоработка.
Ответить | Правка | Наверх | Cообщить модератору

33. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +1 +/
Сообщение от Аноним (33), 05-Мрт-19, 23:28 
Так делом занимайся , а не по карманам тырь
Ответить | Правка | Наверх | Cообщить модератору

17. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +6 +/
Сообщение от Максим (??), 05-Мрт-19, 13:51 
> Возможность изменения системных настроек
> Hide.me

Вот дeрьмо! Годами юзал этот трeш. Интересно, что он мне там наизменял? В любом случае, через неделю подписка закончится, больше не продлю.

Ответить | Правка | Наверх | Cообщить модератору

23. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +3 +/
Сообщение от ryoken (ok), 05-Мрт-19, 16:11 
Познавательно. OneVPN второпях прочёл как OpenVPN, поудивлялся. Значит, ProtonVPN, говорите..?
Ответить | Правка | Наверх | Cообщить модератору

30. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от Аноним (36), 05-Мрт-19, 18:32 
>ZOG VPN

Ничего удивительного.

Ответить | Правка | Наверх | Cообщить модератору

32. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от Аноним (-), 05-Мрт-19, 21:00 
>Kaspersky VPN

кто этим пользуется и зачем?

Ответить | Правка | Наверх | Cообщить модератору

34. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от Аноним (33), 05-Мрт-19, 23:32 
Сексоты Касперского
Ответить | Правка | Наверх | Cообщить модератору

35. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от Аноним (35), 05-Мрт-19, 23:44 
UltraSurf и Астриll всех победили?)))
Ответить | Правка | Наверх | Cообщить модератору

37. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от Аноним (37), 06-Мрт-19, 02:16 
OpenVPN для Андроид из FDroid работает не пыхтит никаких лишних прав не требует
Ответить | Правка | Наверх | Cообщить модератору

42. "Анализ запроса ненадлежащих полномочий в VPN-приложениях для..."  +/
Сообщение от Аноним (-), 06-Мрт-19, 20:21 
+ 100500
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру