Autorisations VPN Android – Étude 2019

Prémissions VPN AndroidLe but d'une autorisation est de protéger la vie privée d'un utilisateur Android.


Selon la documentation Android pour les développeurs d'applications, les autorisations se répartissent en deux groupes - normal et dangereux.

  • Autorisations normales - Ne pose pas de risque pour la confidentialité de l'utilisateur et est accordé automatiquement par le système à l'application.
  • Autorisations dangereuses - Pourrait potentiellement affecter la confidentialité de l'utilisateur ou le fonctionnement normal de l'appareil, l'utilisateur doit explicitement accepter d'accorder ces autorisations.

En tant qu'utilisateur VPN, vous voulez que votre VPN ne demande aucune sorte d'autorisations dangereuses qui ne sont pas nécessaires au fonctionnement de l'application VPN ou qui peuvent compromettre votre confidentialité.

dans cette étude, 81 Les applications VPN Android ont été évaluées en fonction des autorisations qu'elles demandent.

Notre objectif était de découvrir les autorisations les plus couramment utilisées par les applications VPN ainsi que les autorisations douteuses et plus suspectes qui ne sont pas nécessaires au fonctionnement de l'application VPN ou qui violent la confidentialité ou la sécurité de l'utilisateur.

Toutes les applications testées ont été téléchargées depuis le Google Play Store et les listes d'autorisations ont été extraites directement du fichier .apk de l'application. Voici une feuille de calcul Google plus détaillée avec toutes les autorisations des applications VPN Android testées.

Autorisations les plus fréquemment demandées par les VPN

Android a une variété d'autorisations différentes à des fins différentes. Selon ce qu'une application veut faire et comment elle le fait, elle peut avoir besoin d'un ensemble d'autorisations différent. Le tableau 1 montre les autorisations les plus courantes demandées par les applications VPN dans cette étude.

Tableau 1. Autorisations les plus fréquemment demandées pour les applications VPN Android.

  • Vert: Normal - autorisations accordées automatiquement par le système Android.
  • Rouge: Dangereux - autorisations qui compromettent la confidentialité ou le système de l'utilisateur (l'utilisateur doit accepter).

Autorisation

Compter

android.permission.INTERNET

Permet aux applications VPN d'ouvrir des sockets réseau.

81
android.permission.ACCESS_NETWORK_STATE

Permet aux applications VPN d'accéder aux informations sur les réseaux.

79
android.permission.WAKE_LOCK

Pour garder l'appareil éveillé.

58
android.permission.RECEIVE_BOOT_COMPLETED

Pour avertir si le redémarrage de l'appareil est terminé.

55
android.permission.ACCESS_WIFI_STATE

Permet aux applications VPN d'accéder aux informations sur les réseaux Wi-Fi.

54
com.android.vending.BILLING

À des fins de facturation via l'application.

50
com.google.android.c2dm.permission.RECEIVE

Notifications push.

49
com.google.android.finsky.permission.BIND_GET_INSTALL_REFERRER_SERVICE

Donne aux développeurs VPN des informations sur la façon dont les utilisateurs sont arrivés à l'application avant l'installation.

32
android.permission.WRITE_EXTERNAL_STORAGE

Permet au VPN d'écrire sur un stockage externe, tel que SD.

27
android.permission.READ_EXTERNAL_STORAGE

Permet au VPN de lire à partir du stockage externe, tel que SD.

27
android.permission.FOREGROUND_SERVICE

Pour garder l'application VPN en cours d'exécution.

20
android.permission.READ_PHONE_STATE

Autorise l'accès en lecture seule à l'état du téléphone, y compris le numéro de téléphone de l'appareil, les informations actuelles du réseau cellulaire et l'état de tous les appels en cours.

18
android.permission.ACCESS_COARSE_LOCATION

Permet à l'API d'utiliser le WiFi ou des données de cellule mobile (ou les deux) pour déterminer l'emplacement de l'appareil.

16
android.permission.CHANGE_WIFI_STATE

Permet aux applications VPN de changer l'état de la connectivité Wi-Fi.

16
android.permission.ACCESS_FINE_LOCATION

Permet à l'application VPN d'accéder à l'emplacement précis des utilisateurs.

9

La plupart des autorisations ci-dessus sont nécessaires au fonctionnement d'un VPN, notamment l'accès à Internet, la vérification de l'état de votre connexion et le maintien de votre application en veille. Celles-ci sont tout à fait normales et ne devraient pas vous inquiéter. Ils sont répertoriés comme «normaux» par les développeurs Android.

Certaines autorisations, telles que android.permission.INTERNET et android.permission.ACCESS_NETWORK_STATE, ont été accordées automatiquement à toutes les applications VPN.

Cependant, dans cette liste, il y avait aussi des autorisations «dangereuses» qui pouvaient potentiellement compromettre la confidentialité des utilisateurs Android, celles-ci étaient liées à l'accès à votre emplacement précis, au nom de l'appareil, à votre numéro de téléphone et à la lecture de votre carte SD.

Réponse d'Alex (VPN Seed 4 Me):

android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
L'autorisation de localisation requise pour obtenir le nom des réseaux Wi-Fi. Dans notre application, nous avons une fonctionnalité «Trusted Networks». L'application avertit les utilisateurs lorsqu'ils sont connectés à un nouveau réseau Wi-Fi et si le réseau ne figure pas dans la liste des réseaux de confiance, l'application conseille à l'utilisateur d'utiliser le VPN. C'est une fonctionnalité utile pour la protection de la vie privée, en particulier lorsque vous êtes connecté à une connexion Wi-Fi gratuite dans un hôtel ou un café.Le système d'exploitation Android nécessite l'autorisation depuis Android 9, les versions précédentes de notre application ne nécessitaient pas l'autorisation. L'application demande l'autorisation à l'écran de démarrage et affiche le message expliquant pourquoi elle nécessite l'autorisation. Si l'utilisateur ne souhaite pas utiliser la fonctionnalité «Réseaux de confiance», il ne peut pas donner l'accès sur l'écran de démarrage ou désactiver ultérieurement l'accès à notre application à cette fonctionnalité dans les paramètres système (Paramètres > applications & Notifications > Seed4.Me VPN > Autorisations > Emplacement). Toutes les autres fonctionnalités de l'application fonctionneront très bien.android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE

Les autorisations de lecture et d'écriture à partir du stockage externe requises pour collecter le journal des erreurs. Nous avons un support 24/7 et si l'application ne fonctionne pas comme prévu, les utilisateurs peuvent collecter des journaux pour la technologie. support par appui long sur le bouton «Support». L'application demandera si l'utilisateur souhaite activer la collecte de journaux et si l'utilisateur accepte, l'application enregistrera son journal sur un lecteur externe. L'utilisateur peut reproduire le problème et appuyer à nouveau sur le bouton «Support» pour envoyer un e-mail à notre équipe d'assistance. Le journal sera automatiquement joint à l'e-mail et supprimé du stockage externe.

L'application ne demande pas les autorisations tant que l'utilisateur ne souhaite pas collecter les journaux. Par défaut, l'autorisation est désactivée pour l'application et les autres fonctionnalités de l'application ne les nécessitent pas. Si l'utilisateur a collecté les journaux une fois, il peut désactiver l'accès dans les paramètres (Paramètres > applications & Notifications > Seed4.Me VPN > Autorisations > Espace de rangement).

Un regard sur les autorisations «dangereuses»

Une fois que nous avons identifié toutes les autorisations de chacun des 81 VPN (y compris les plus courants), nous avons filtré les autorisations qui n'étaient pas nécessaires pour qu'une application VPN fonctionne et peuvent potentiellement nuire à la confidentialité de l'utilisateur..

De nombreuses applications VPN examinées dans cette étude demandent des autorisations qui ne sont pas nécessaires au fonctionnement d'un VPN.

Certaines autorisations sont assez inoffensives. Comme la possibilité de faire vibrer le téléphone ou de pousser les notifications des applications.

Cependant, d'autres sont plus méfiants. Bien que ces autorisations puissent être utilisées à des fins bénignes (c.-à-d. Demander l'accès à l'emplacement de Coare est un moyen d'obtenir le nom d'un réseau WiFi pour gérer les reconnexions), elles ont également la possibilité de compromettre la confidentialité de l'utilisateur.

D'autres n'ont aucun but légitime dans une application VPN, comme WRITE_SETTINGS qui permet à l'application VPN d'écrire les paramètres système ou READ_LOGS, qui permet à l'application VPN de lire les fichiers journaux système de bas niveau.

Tableau 2. Applications avec les autorisations les plus suspectes / dangereuses

Nom VPN Nombre d'autorisations dangereuses Nom de l'autorisation exacte
Yoga VPN

Lien Google Play

6 android.permission.ACCESS_FINE_LOCATION
android.permission.READ_PHONE_STATE
android.permission.WRITE_SETTINGS
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
VPN proXPN

Lien Google Play

5 android.permission.ACCESS_FINE_LOCATION
android.permission.READ_PHONE_STATE
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
VPN gratuit Hola

Lien Google Play

4 android.permission.READ_PHONE_STATE
android.permission.ACCESS_FINE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
Seed4.Me VPN

Lien Google Play

4 android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
OvpnSpider

Lien Google Play

4 android.permission.ACCESS_FINE_LOCATION
android.permission.READ_LOGS
android.permission.ACCESS_COARSE_LOCATION
android.permission.WRITE_EXTERNAL_STORAGE
SwitchVPN

Lien Google Play

4 android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
Zoog VPN

Lien Google Play

4 android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE

La plupart des autorisations concernant ont été utilisées par l'application Yoga VPN (plus de 5 millions d'installations sur Google Play) et oVPNSpider qui demandaient des autorisations pour lire et écrire les paramètres système, accéder à l'état de votre téléphone et à votre emplacement exact avec la possibilité de lire et d'écrire sur SD qui ne sont pas nécessaires pour qu'une application VPN fonctionne.

Une autre autorisation notable utilisée par oVPNSpider et tigerVPN est l'autorisation READ_LOGS. Cette autorisation n'est plus disponible pour les applications tierces (comme les VPN) en raison de problèmes de confidentialité, et l'application ne devrait pas du tout la demander.

Vous trouverez ci-dessous des explications sur les autorisations suspectes demandées par les applications VPN Android:

1. WRITE_EXTERNAL_STORAGE et READ_EXTERNAL_STORAGE

Permet au VPN de lire et d'écrire sur le stockage externe - pas nécessaire pour qu'une application VPN fonctionne et pourrait compromettre la confidentialité de l'utilisateur.

  • Autorisation: android.permission.WRITE_EXTERNAL_STORAGE et READ_EXTERNAL_STORAGE
  • Utilisé par les 27 applications VPN suivantes: Betternet, Free VPN org, OneVPN, X-VPN, StarVPN, VPN One Click, Yoga VPN, AppVPN, ProXPN, Seed4me VPN, oVPNSpider, Goose VPN, SpyOFF, TouchVPN, SwitchVPN, Trust Zone, McAfee VPN, SurfEasy, Psiphon, TigerVPN, Dash VPN, Hotspot Shield, NordVPN, Hola VPN, SurfShark, VPN Secure, Zoog VPN.
2. READ_PHONE_STATE

Autorise l'accès en lecture seule du VPN à l'état du téléphone, y compris le numéro de téléphone de l'appareil, les informations actuelles du réseau cellulaire et l'état de tous les appels en cours - pas nécessaire pour qu'un VPN fonctionne.

  • Autorisation: android.permission.READ_PHONE_STATE
  • Utilisé par les applications VPN Android 18 suivantes: Avira VPN, Free VPN org, Norton Secure VPN, VPN One Click, Yoga VPN, HideMyAss, AVG VPN, ProXPN, Goose VPN, Touch VPN, McAfee VPN, SurfEasy, Kaspersky VPN, Speedify, Dash VPN, Hotspot Shield, ibVPN, Hola VPN.
3. ACCESS_COARSE_LOCATION

Permet au VPN d'utiliser le WiFi ou des données de cellules mobiles (ou les deux) pour déterminer l'emplacement de l'appareil - risque potentiel de confidentialité.

  • Autorisation: android.permission.ACCESS_COARSE_LOCATION
  • Utilisé par les 16 applications VPN suivantes: WindScribe, Free VPN org, Yoga VPN, HideMyAss, Avast VPN, AVG VPN, iVPN, ProXPN, oVPNSpider, TouchVPN, SwitchVPN, Kaspersky VPN, Psiphon VPN, Speedify, Dash VPN, Zoog VPN .
4. ACCESS_FINE_LOCATION

Permet à une application VPN d'accéder à l'emplacement précis de l'utilisateur - risque de confidentialité élevé. 

  • Autorisation: android.permission.ACCESS_FINE_LOCATION
  • Utilisé par les 9 applications VPN suivantes: Yoga VPN, VPN Unlimited, ProXPN, Seed4me VPN, oVPNSpider, SwitchVPN, Dash VPN, Hola VPN, Zoog VPN
5. WRITE_SETTINGS

Permet à l'application VPN de lire ou d'écrire les paramètres système - risque élevé de sécurité et de confidentialité.

  • Autorisation: android.permission.WRITE_SETTINGS
  • Utilisé par les 3 applications VPN suivantes: Speedify et Yoga VPN.
6. READ_LOGS

Permet à l'application VPN de lire les fichiers journaux système de bas niveau. Ne pas utiliser par des applications tierces, car les entrées du journal peuvent contenir les informations privées de l'utilisateur - risque de confidentialité élevé.

  • Autorisation: android.permission.READ_LOGS
  • Utilisé par les 2 applications VPN suivantes: TigerVPN, oVPNSpider.
7. MANAGE_DOCUMENTS

Permet à l'application VPN de gérer l'accès aux documents, généralement dans le cadre d'un sélecteur de documents. Cette autorisation ne doit être demandée que par l'application de gestion de documents de la plateforme. Cette autorisation ne peut pas être accordée à des applications tierces.

  • Autorisation: android.permission.MANAGE_DOCUMENTS
  • Utilisé par TigerVPN
8. DUMP

Permet à une application de récupérer des informations de vidage d'état des services système. Ne pas utiliser par des applications tierces.

  • Autorisation: android.permission.DUMP
  • Utilisé par PureVPN

Les resultats

Dans le dernier tableau, nous listons tous les VPN que nous avons testés et leurs autorisations au total, les autorisations personnalisées et les autorisations suspectes.

Tableau 3. Applications VPN classées en fonction des autorisations demandées

Nom VPN .nom de fichier apk Autorisations suspectes Autorisations totales Autorisations personnalisées
Yoga VPN com.yogavpn 6 13 2
ProXPN com.proxpn.proxpn 5 16 5
Dash VPN com.actmobile.dashvpn 5 14 2
Seed 4 Me me.seed4.app.android 4 17 4
oVPNSpider com.ovpnspider 4 8 0
SwitchVPN com.switchvpn.ovpn 4 12 3
Hola org.hola 4 15 1
Zoog VPN com.zoogvpn.android 4 13 2
Organisation VPN gratuite org.freevpn 3 12 2
VPN One Click com.vpnoneclick.android 3 sept 0
Goose VPN com.goosevpn.gooseandroid 3 11 3
TouchVPN com.northghost.touchvpn 3 14 3
SurfEasy com.surfeasy 3 14 3
Psiphon VPN com.psiphon3.subscription 3 11 0
Speedify com.speedify.speedifyandroid 3 12 1
TigerVPN com.tigeratwork.tigervpn 3 9 1
VPN Hotspot Shield hotspotshield.android.vpn 3 16 3
ibVPN com.ibvpn.client 3 8 0
Betternet com.freevpnintouch 2 16 4
OneVPN com.dave.onevpnfresh 2 9 2
Windscribe com.windscribe.vpn 2 14 2
X-VPN com.security.xvpn.z35kb 2 13 2
VPN Star com.peach.vpn 2 dix 2
HideMyAss com.hidemyass.hidemyassprovpn 2 19 6
VPN moyen com.avg.android.vpn 2 19 6
SpyOFF com.spyoff.client.android 2 5 0
PureVPN com.gaditek.purevpnics 2 21 6
Zone de confiance zone.trust.vpn 2 5 0
Mcafee Safe Connect com.mcafee.safeconnect.android 2 dix 2
VPN Kaspersky com.kaspersky.secure.connection 2 17 4
SurfShark com.surfshark.vpnclient.android 2 14 4
VPN sécurisé com.vpnsecure.pty.ltd 2 9 1
Ivacy com.ivacy 1 11 2
Avira Phantom VPN com.avira.vpn.AviraVPNApplication 1 13 1
Norton Secure VPN com.symantec.securewifi 1 13 3
VPN Thunder com.fast.free.unblock.thunder.vpn 1 9 3
AppVPN appvpn.vpn 1 8 2
VPN Avast com.avast.android.vpn 1 19 sept
VPN en contact com.vpnintouch.android 1 9 2
iVPN net.ivpn.client 1 6 0
VPN illimité com.simplexsolutionsinc.vpn_unlimited 1 17 4
OpenVPN de.blinkt.openvpn 1 5 0
Masquer mon IP com.hidemyip.hideme 1 dix 1
PrivateVPN com.pvpn.privatevpn 1 sept 0
Zone VPN com.vpnarea 1 5 0
AirVPN org.airvpn.eddie 1 4 0
VPN anonyme com.aprovpn.openvpn 1 4 0
NordVPN com.nordvpn.android 1 14 4
Accès Internet Privé com.privateinternetaccess.android 1 5 0
VPN ac ac.vpn.androidapp 1 5 1
StrongVPN com.strongvpn 0 5 0
VPN Hoxx com.hoxxvpn.main 0 3 0
TurboVPN free.vpn.unblock.proxy.turbovpn 0 sept 2
VPN Master free.vpn.unblock.proxy.vpn.master.pro 0 sept 2
Me déconnecter com.disconnect.samsungcontentblocker 0 3 1
HexaTech tech.hexa 0 12 4
CyberGhost de.mobileconcepts.cyberghost 0 11 4
AstrillVPN com.astrill.astrillvpn 0 2 0
Torguard net.torguard.openvpn.client 0 6 0
UltraSurf us.ultrasurf.mobile.ultrasurf 0 1 0
ProtonVPN com.protonvpn.android 0 5 0
VPN 360 co.infinitysoft.vpn360 0 6 2
VPN F-Secure com.fsecure.freedome.vpn.security.privacy.android 0 dix 2
IPVanish com.ixolit.ipvanish 0 5 0
VPN Browsec com.browsec.vpn 0 8 2
VPN Cactus cactusvpn.app 0 8 2
Tunnel privé net.openvpn.privatetunnel 0 6 0
VPN tamponné com.buffered.vpn 0 4 0
LiquidVPN com.liquidvpn.liquidvpn 0 3 0
BlackVPN com.blackvpn 0 sept 2
VPN Hotspot com.hotspotvpn.android 0 5 0
DotVPN com.dotvpn.vpn 0 5 0
ZenMate com.zenmate.android 0 12 4
Encrypt Me com.stackpath.cloak 0 dix 3
ExpressVPN com.expressvpn.vpn 0 dix 2
SaferVPN com.safervpn.android 0 8 2
FastestVPN com.vpn.fastestvpnservice 0 6 2
VPNHub com.appatomic.vpnhub 0 9 3
Tunnel VPN com.oneonone.vpntunnel.android 0 8 2
VyprVPN com.goldenfrog.vyprvpn.app 0 8 2

Lien vers une feuille de calcul de toutes les autorisations demandées par les VPN.

En théorie, les applications VPN ne devraient avoir besoin que de quelques autorisations pour fonctionner. INTERNET et ACCESS_NETWORK_STATE devraient généralement suffire.

Cependant, en moyenne, 11 autorisations sont demandées par application VPN.

Android offre une grande variété d'autorisations possibles pour les applications. Cependant, les applications peuvent également définir leurs propres autorisations. Dans de nombreux cas, ces autorisations sont bénignes, comme autoriser une application à parler aux systèmes cloud du fabricant (une demande courante pour ces applications).

Plus haut dans le tableau se trouvent les applications VPN qui ont les autorisations les plus dangereuses qui pourraient affecter la confidentialité de l'utilisateur. Surtout Yoga VPN, ProxPN et TigerVPN

Cependant, l'utilisation d'un grand nombre d'autorisations dangereuses pourrait être source de suspicion.

Lors de la sélection et de l'installation d'une application VPN sur Android, il est important de prêter attention aux autorisations. Lisez la description et demandez-vous si l'application a vraiment besoin de pouvoir vous enregistrer afin de fournir un service VPN. Certaines des applications des plus grandes entreprises se sont révélées être les plus suspectes dans cette étude, vous ne pouvez donc pas simplement faire confiance aux grands noms.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me