Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустило новые рекомендации по безопасности мобильных устройств, в которых предостерегло пользователей iPhone и Android от использования персональных VPN-сервисов. По мнению экспертов, такие приложения всё чаще становятся не инструментом защиты, а каналом потенциальной угрозы.
В документе CISA подчёркивается, что личные VPN-сервисы нередко не уменьшают риски, а лишь смещают их. Вместо того чтобы проходить через интернет-провайдера, весь трафик теперь направляется через серверы третьей стороны, которой пользователь вынужден доверять по умолчанию.
При этом немалая часть популярных VPN-приложений принадлежит компаниям с непрозрачной структурой владения и слабой политикой в области защиты данных.
Агентство указывает на участившиеся случаи использования поддельных VPN-приложений, которые маскируются под легитимные сервисы, но на самом деле содержат вредоносные компоненты. Такие программы способны перехватывать сообщения, отслеживать историю посещений сайтов, получать доступ к учётным записям, банковским данным и другой чувствительной информации. В сущности, они превращаются в трояны, создавая скрытый канал доступа к устройству.
Рост популярности VPN, по данным CISA, связан с несколькими факторами. Во-первых, это желание пользователей обходить географические ограничения, получать доступ к запрещённому или недоступному контенту. Во-вторых, это реакция на законодательные ограничения, например, требование подтверждения возраста на сайтах для взрослых. Во многих случаях люди скачивают первое попавшееся приложение, не проверяя его происхождение, рейтинг, владельца и условия обработки данных.
В CISA уточняют, что потенциальная угроза наиболее высока в случаях, когда пользователь устанавливает VPN из неизвестного источника или выбирает бесплатные сервисы с минимальной информацией о компании-разработчике.
Отсутствие прозрачных правил хранения данных, политик безопасности и ограничений на сбор пользовательской информации превращает такие VPN в новое звено риска, а не в средство цифровой защиты.
Хотя формально агентство не накладывает запрет на использование всех VPN-сервисов, в рекомендациях чётко прослеживается мысль — доверие к провайдеру должно быть заслуженным, а не автоматическим. Без этого VPN перестаёт быть щитом и становится очередной точкой наблюдения за пользователем. В условиях распространения коммерческого шпионского ПО и роста числа вредоносных мобильных приложений к выбору подобных инструментов стоит подходить так же строго, как к выбору банка или операционной системы.