Поки в Конгресі США обговорюють, чи варто забороняти додаток TikTok, що належить китайській компанії, мільйони американців завантажують на свої телефони розроблені в КНР застосунки, які становлять навіть більший ризик для конфіденційності. Про це повідомляє The Washington Post.
Застосунки, відомі як мобільні віртуальні приватні мережі або VPN, створюють "тунель", який маскує віртуальне та фізичне місцеперебування користувача. Так людина стає анонімною для вебсайтів, постачальників зв’язку, а також рекламодавців і урядових шпигунів.
Але експерти роками попереджали: все, що приховують VPN, вони можуть побачити самі. Це означає, що користувачі, які намагаються приховувати свою діяльність в Інтернеті, передають цю інформацію самим застосункам VPN.
Деякі мережі VPN можуть переглядати навіть більше даних, зокрема зашифрований вміст електронної пошти та банківську інформацію.
Деякі з найпопулярніших VPN вводили споживачів в оману, приховуючи своє походження, право власності та місцеперебування. Це, зокрема, застосунки, розташовані в Китаї або контрольовані громадянами цієї країни.
Відповідно до китайського законодавства, технологічні компанії зобов'язані передавати дані своїх користувачів державним органам. Парламентарі загалом мовчать про ризики, пов’язані з VPN від китайських провайдерів, водночас обстоюючи обмеження та повну заборону TikTok, який має набагато менший доступ до даних користувачів. Частково це можна пов’язати з тим, що TikTok — більш помітна мішень і бренд, а десятки VPN, що заполонили магазини застосунків, змінюють назви, адреси й власників із року в рік.
Відтак, боротьба з TikTok може почати ширшу дискусію про китайські технології. Мережі VPN підпадають під дію законопроєкту, поданого сенаторами Марком Р. Ворнером і Джоном Туном. Він вимагатиме від Міністерства торгівлі оцінювати іноземні технології та рекомендувати президенту забороняти найбільш небезпечні з них. Китайські VPN виявилися серед застосунків, які потребували системного перегляду, подібного до запропонованого в законопроєкті, який дозволив би Міністерству торгівлі перевіряти їх із міркувань національної безпеки.
Наприклад, візьмімо до уваги Turbo VPN — один із перших застосунків, які з’являються під час пошуку в магазині Google Play за словом «VPN». Його завантажили більше 100 мільйонів разів. Материнська компанія додатку Innovative Connecting має штаб-квартиру в Сінгапурі та реєстрацію на Кайманових островах. Згідно з даними Washington Post, протягом останніх кількох років її директорами були громадяни Китаю. Як і у випадку багатьох інших застосунків, немає способу довести, ким є і де перебувають її справжні власники.
Комп’ютерна версія Turbo VPN була однією з кількох служб, у яких AppEsteem минулого року виявив встановлювання кореневих сертифікатів, що дозволяло їм повідомляти комп’ютеру про довіру будь-якій авторизованій програмі. Він міг поручитися за підроблену електронну пошту чи чат-програму для завантаження вмісту зі справжніх програм, але немає жодних доказів, що він коли-небудь це робив.
Ще дві з перших шести VPN в Google Play належать організації під назвою Signal Lab. Signal Lab має вебсайт, на якому не згадано, яка компанія ним володіє. Вказаною на сайті адресою поблизу Лос-Анджелеса користуються сотні організацій. Єдиний спосіб зв’язатися з Signal Lab — через адресу Gmail, де запит на публікацію тижнями залишався без відповіді. Співробітники розповіли досліднику Саймону Мільяно, який пише для Top10VPN.com, що компанія працює з Гонконгу.
Apple App Store має подібні проблеми. З перших 10 результатів пошуку «VPN» один — із Гонконгу, а ще три належали бостонській Aura, яка тепер є материнською компанією VPN-застосунку Hotspot Shield. Він встановлював файли cookie для відстеження на комп’ютерах користувачів, а в своїй політиці конфіденційності заявив, що не вважає IP-адреси чи ідентифікатори пристроїв особистою інформацією, навіть якщо обидва можуть бути прив’язані до конкретного користувача.
Ще один із топ-10 результатів пошуку в Apple Store — Super Unlimited Proxy VPN — пов’язаний із компанією з китайським бекграундом. Дані Apple свідчать, що застосунок належить компанії Mobile Jump із Сінгапуру, яка колись мала штаб-квартиру в науково-технологічному парку Dongsheng у Пекіні.
Сінгапурські дані показують, що Mobile Jump належить Free VPN, а її власником є VPN Super, яка має ту саму адресу в Редвуд-Сіті, Каліфорнія, що й американська компанія Super Unlimited.
Президентом Super Unlimited є Танудж Чаттерджі, який раніше був топменеджером компанії Aura, власника Hotspot Shield. Чаттерджі підтвердив, що Super Unlimited належать великі мережі VPN, і сказав, що на момент придбання вони не мали юридичного зв’язку з Китаєм. «Ні ми, ні жодна з наших дочірніх компаній не маємо жодного зв’язку з Китаєм; жодні акціонери, операції, код, сервери, дані чи члени команди не перебувають у Китаї та не пов’язані з Китаєм», — повідомив він електронною поштою.
Представники магазинів Apple та Google відкидають занепокоєння в тому, що вони надають платформу для потенційно шкідливих застосунків. Обидві компанії стверджували, що вони достатньо захищають споживачів через процес схвалення продуктів.
Бізнес VPN більший, ніж чимал інших категорій додатків, причому платні версії часто дають найвищий дохід серед додатків для продуктивності.
Дослідники з Top10VPN.com виявили понад 200 мільйонів установок VPN з китайськими зв’язками. А багато брендів, стаючи популярнішими, приховують такі зв'язки. Деякі змінюють китайську штаб-квартиру, інші — керівників.
Окремі VPN, які стверджували, що не зберігають журналів логів (файлів із хронологічною інформацією про дії програм або користувачів), зуміли створити їх, коли зіткнулися з юридичними документами, і це викликало питання до їхніх власників і керівників. Серед них, зокрема, ExpressVPN, один із найпопулярніших для перегляду китайських вебсайтів. Нині ним володіє Kape Technologies, яка розвинулася з компанії, відомої розповсюдженням шкідливого програмного забезпечення.