Uprawnienia Android VPN – badanie 2019

Premiera Android VPNPozwolenie ma na celu ochronę prywatności użytkownika Androida.


Zgodnie z dokumentacją Androida dla twórców aplikacji uprawnienia dzielą się na dwie grupy - normalną i niebezpieczną.

  • Normalne uprawnienia - Nie stanowią zagrożenia dla prywatności użytkownika i są automatycznie przyznawane przez system aplikacji.
  • Niebezpieczne uprawnienia - Może potencjalnie wpłynąć na prywatność użytkownika lub normalne działanie urządzenia, użytkownik musi wyraźnie wyrazić zgodę na udzielenie tych uprawnień.

Jako użytkownik VPN chcesz, aby VPN nie pytał o żadne niebezpieczne uprawnienia, które nie są potrzebne do działania aplikacji VPN lub które mogą zagrozić Twojej prywatności.

W tym badaniu, 81 Aplikacje VPN na Androida zostały ocenione na podstawie żądanych uprawnień.

Naszym celem było znalezienie najczęściej używanych uprawnień przez aplikacje VPN, a także wątpliwych i bardziej podejrzanych uprawnień, które albo nie są potrzebne do działania aplikacji VPN, albo naruszają prywatność lub bezpieczeństwo użytkownika.

Wszystkie przetestowane aplikacje zostały pobrane ze sklepu Google Play, a listy uprawnień zostały wyodrębnione bezpośrednio z pliku .apk aplikacji. Oto bardziej szczegółowy arkusz kalkulacyjny Google ze wszystkimi uprawnieniami z testowanych aplikacji VPN na Androida.

Najczęściej zadawane uprawnienia przez VPN

Android ma wiele różnych uprawnień do różnych celów. W zależności od tego, co aplikacja chce zrobić i jak to robi, może potrzebować innego zestawu uprawnień. Tabela 1 pokazuje najczęstsze uprawnienia wymagane przez aplikacje VPN w tym badaniu.

Tabela 1. Najczęściej wymagane uprawnienia dla aplikacji VPN na Androida.

  • Zielony: Normalny - uprawnienia przyznawane automatycznie przez system Android.
  • Czerwony: Niebezpieczne - uprawnienia naruszające prywatność lub system użytkownika (użytkownik musi wyrazić zgodę).

Pozwolenie

Liczyć

android.permission.INTERNET

Zezwala aplikacjom VPN na otwieranie gniazd sieciowych.

81
android.permission.ACCESS_NETWORK_STATE

Zezwala aplikacjom VPN na dostęp do informacji o sieciach.

79
android.permission.WAKE_LOCK

Aby utrzymać urządzenie w stanie czuwania.

58
android.permission.RECEIVE_BOOT_COMPLETED

Aby powiadomić, czy restart urządzenia został zakończony.

55
android.permission.ACCESS_WIFI_STATE

Zezwala aplikacjom VPN na dostęp do informacji o sieciach Wi-Fi.

54
com.android.vending.BILLING

Do celów rozliczeniowych w aplikacji.

50
com.google.android.c2dm.permission.RECEIVE

Powiadomienia push.

49
com.google.android.finsky.permission.BIND_GET_INSTALL_REFERRER_SERVICE

Dostarcza programistom VPN informacji o tym, jak użytkownicy dotarli do aplikacji przed instalacją.

32
android.permission.WRITE_EXTERNAL_STORAGE

Umożliwia VPN zapisywanie w pamięci zewnętrznej, takiej jak SD.

27
android.permission.READ_EXTERNAL_STORAGE

Pozwala VPN na odczyt z pamięci zewnętrznej, takiej jak SD.

27
android.permission.FOREGROUND_SERVICE

Do utrzymywania działania aplikacji VPN.

20
android.permission.READ_PHONE_STATE

Umożliwia dostęp tylko do odczytu do stanu telefonu, w tym numeru telefonu urządzenia, bieżącej informacji o sieci komórkowej i statusu wszystkich trwających połączeń.

18
android.permission.ACCESS_COARSE_LOCATION

Zezwala interfejsowi API na korzystanie z danych Wi-Fi lub danych komórkowych (lub obu) w celu ustalenia lokalizacji urządzenia.

16
android.permission.CHANGE_WIFI_STATE

Zezwala aplikacjom VPN na zmianę stanu łączności Wi-Fi.

16
android.permission.ACCESS_FINE_LOCATION

Pozwala aplikacji VPN na dostęp do precyzyjnej lokalizacji użytkowników.

9

Wiele powyższych uprawnień jest wymaganych do działania VPN, obejmują one uzyskanie dostępu do Internetu, sprawdzanie stanu połączenia i utrzymywanie aktywnej aplikacji. Są to całkowicie normalne i nie powinny powodować żadnych zmartwień. Są one wymienione przez programistów Androida jako „normalne”.

Niektóre uprawnienia, takie jak android.permission.INTERNET i android.permission.ACCESS_NETWORK_STATE, zostały przyznane automatycznie wszystkim aplikacjom VPN.

Jednak na tej liście były również „niebezpieczne” uprawnienia, które potencjalnie mogłyby zagrozić prywatności użytkowników Androida, były one związane z uzyskaniem dostępu do Twojej dokładnej lokalizacji, nazwy urządzenia, numeru telefonu i odczytania karty SD.

Odpowiedź od Alexa (Seed 4 Me VPN):

android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
Wymagane pozwolenie na lokalizację, aby uzyskać nazwę sieci Wi-Fi. W naszej aplikacji mamy funkcję „Zaufanych sieci”. Aplikacja powiadamia użytkowników, gdy są podłączeni do nowej sieci Wi-Fi, a jeśli sieci nie ma na liście Zaufanych sieci, aplikacja zaleca użytkownikowi korzystanie z VPN. Jest to przydatna funkcja do ochrony prywatności, zwłaszcza gdy masz połączenie z bezpłatnym Wi-Fi w hotelu lub kawiarni. System operacyjny Android wymaga pozwolenia, ponieważ Android 9, poprzednie wersje naszej aplikacji nie wymagały pozwolenia. Aplikacja pyta o pozwolenie na ekranie startowym i wyświetla komunikat wyjaśniający, dlaczego wymaga pozwolenia. Jeśli użytkownik nie chce korzystać z funkcji „Zaufane sieci”, może nie dać dostępu na ekranie startowym lub później wyłączyć dostępu do naszej aplikacji do tej funkcji w Ustawieniach systemu (Ustawienia > Aplikacje & Powiadomienia > Seed4.Me VPN > Uprawnienia > Lokalizacja). Wszystkie pozostałe funkcje aplikacji będą działać dobrze.android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE

Uprawnienia do odczytu i zapisu z pamięci zewnętrznej wymagane do gromadzenia dziennika błędów. Mamy wsparcie 24/7, a jeśli aplikacja nie działa zgodnie z oczekiwaniami, użytkownicy mogą gromadzić dzienniki dla technologii. wsparcie przez długie naciśnięcie przycisku „Wsparcie”. Aplikacja zapyta, czy użytkownik chce włączyć zbieranie dzienników, a jeśli wyrazi zgodę, aplikacja zapisze dziennik na dysku zewnętrznym. Użytkownik może odtworzyć problem i ponownie nacisnąć przycisk „Wsparcie”, aby wysłać wiadomość e-mail do naszego zespołu pomocy technicznej. Dziennik zostanie automatycznie dołączony do wiadomości e-mail i usunięty z pamięci zewnętrznej.

Aplikacja nie prosi o uprawnienia, dopóki użytkownik nie chce zbierać dzienników. Domyślnie uprawnienie jest wyłączone dla aplikacji i inne funkcje aplikacji ich nie wymagają. Jeśli użytkownik zebrał dzienniki raz, może wyłączyć dostęp w ustawieniach (Ustawienia > Aplikacje & Powiadomienia > Seed4.Me VPN > Uprawnienia > Przechowywanie).

Spojrzenie w uprawnienia „Niebezpieczne”

Po zidentyfikowaniu wszystkich uprawnień na 81 sieci VPN (w tym wspólnych) odfiltrowaliśmy uprawnienia, które nie były potrzebne do działania aplikacji VPN i mogą potencjalnie zaszkodzić prywatności użytkownika.

Wiele aplikacji VPN sprawdzonych w tym badaniu wymaga uprawnień, które nie są potrzebne do działania VPN.

Niektóre uprawnienia są dość nieszkodliwe. Na przykład możliwość powodowania wibracji telefonu lub wypychania powiadomień aplikacji.

Jednak inni są bardziej podejrzliwi. Chociaż uprawnienia te można wykorzystać do łagodnych celów (tj. Prośba o dostęp do lokalizacji coare jest sposobem na uzyskanie nazwy sieci Wi-Fi do obsługi ponownych połączeń), mają one również możliwość naruszenia prywatności użytkownika.

Inne nie mają uzasadnionego celu w aplikacji VPN, takiej jak WRITE_SETTINGS który pozwala aplikacji VPN zapisać ustawienia systemowe lub READ_LOGS, który pozwala aplikacji VPN na odczyt plików dziennika niskiego poziomu.

Tabela 2. Aplikacje z najbardziej podejrzanymi / niebezpiecznymi uprawnieniami

Nazwa VPN # niebezpiecznego pozwolenia Dokładna nazwa uprawnienia
Yoga VPN

Link do Google Play

6 android.permission.ACCESS_FINE_LOCATION
android.permission.READ_PHONE_STATE
android.permission.WRITE_SETTINGS
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
proXPN VPN

Link do Google Play

5 android.permission.ACCESS_FINE_LOCATION
android.permission.READ_PHONE_STATE
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
Hola Free VPN

Link do Google Play

4 android.permission.READ_PHONE_STATE
android.permission.ACCESS_FINE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
Seed4.Me VPN

Link do Google Play

4 android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
OvpnSpider

Link do Google Play

4 android.permission.ACCESS_FINE_LOCATION
android.permission.READ_LOGS
android.permission.ACCESS_COARSE_LOCATION
android.permission.WRITE_EXTERNAL_STORAGE
SwitchVPN

Link do Google Play

4 android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
Zoog VPN

Link do Google Play

4 android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE

Najbardziej dotyczące uprawnień wykorzystała aplikacja Yoga VPN (ponad 5 milionów instalacji w Google Play) i oVPNSpider, który poprosił o uprawnienia do odczytu i zapisu ustawień systemowych, uzyskania dostępu do stanu telefonu i dokładnej lokalizacji z możliwością odczytu i zapisu na kartę SD, która nie są wymagane do działania aplikacji VPN.

Kolejnym znaczącym uprawnieniem używanym przez oVPNSpider i tigerVPN jest uprawnienie READ_LOGS. To uprawnienie nie jest już dostępne dla aplikacji innych firm (takich jak VPN) ze względu na obawy związane z prywatnością, a aplikacja nie powinna w ogóle o nie prosić.

Poniżej znajdują się wyjaśnienia podejrzanych uprawnień zapytanych przez aplikacje VPN na Androida:

1. WRITE_EXTERNAL_STORAGE i READ_EXTERNAL_STORAGE

Pozwala VPN na odczyt i zapis w pamięci zewnętrznej - niepotrzebne do działania aplikacji VPN i może zagrozić prywatności użytkownika.

  • Licencja: android.permission.WRITE_EXTERNAL_STORAGE i READ_EXTERNAL_STORAGE
  • Używany przez następujące 27 aplikacji VPN: Betternet, Free VPN org, OneVPN, X-VPN, StarVPN, VPN One Click, Yoga VPN, AppVPN, ProXPN, Seed4me VPN, oVPNSpider, Goose VPN, SpyOFF, TouchVPN, SwitchVPN, Strefa zaufania, McAfee VPN, SurfEasy, Psiphon, TigerVPN, Dash VPN, Hotspot Shield, NordVPN, Hola VPN, SurfShark, VPN Secure, Zoog VPN.
2. READ_PHONE_STATE

Umożliwia VPN dostęp tylko do odczytu do stanu telefonu, w tym numeru telefonu urządzenia, bieżących informacji o sieci komórkowej i statusu wszelkich trwających połączeń - nie jest potrzebny do działania VPN.

  • Licencja: android.permission.READ_PHONE_STATE
  • Używany przez następujące aplikacje VPN na Androida 18: Avira VPN, darmowa organizacja VPN, Norton Secure VPN, VPN One Click, Yoga VPN, HideMyAss, AVG VPN, ProXPN, Goose VPN, Touch VPN, McAfee VPN, SurfEasy, Kaspersky VPN, Speedify, Dash VPN, Hotspot Shield, ibVPN, Hola VPN.
3. ACCESS_COARSE_LOCATION

Umożliwia VPN korzystanie z danych Wi-Fi lub danych komórkowych (lub obu) w celu ustalenia lokalizacji urządzenia - potencjalne ryzyko naruszenia prywatności.

  • Licencja: android.permission.ACCESS_COARSE_LOCATION
  • Używany przez następujące 16 aplikacji VPN: WindScribe, darmowa organizacja VPN, Yoga VPN, HideMyAss, Avast VPN, AVG VPN, iVPN, ProXPN, oVPNSpider, TouchVPN, SwitchVPN, Kaspersky VPN, Psiphon VPN, Speedify, Dash VPN, Zoog VPN .
4. ACCESS_FINE_LOCATION

Pozwala aplikacji VPN na dostęp do dokładnej lokalizacji użytkownika - wysokie ryzyko naruszenia prywatności. 

  • Licencja: android.permission.ACCESS_FINE_LOCATION
  • Używany przez następujących 9 aplikacji VPN: Yoga VPN, VPN Unlimited, ProXPN, Seed4me VPN, oVPNSpider, SwitchVPN, Dash VPN, Hola VPN, Zoog VPN
5. WRITE_SETTINGS

Pozwala aplikacji VPN na odczyt lub zapis ustawień systemu - wysokie ryzyko związane z bezpieczeństwem i prywatnością.

  • Licencja: android.permission.WRITE_SETTINGS
  • Używany przez następujące 3 aplikacje VPN: Speedify i Yoga VPN.
6. READ_LOGS

Zezwala aplikacji VPN na odczyt plików dziennika niskiego poziomu. Nie do użytku przez aplikacje innych firm, ponieważ wpisy w dzienniku mogą zawierać prywatne informacje użytkownika - wysokie ryzyko naruszenia prywatności.

  • Licencja: android.permission.READ_LOGS
  • Używany przez następujące 2 aplikacje VPN: TigerVPN, oVPNSpider.
7. MANAGE_DOCUMENTS

Zezwala aplikacji VPN na zarządzanie dostępem do dokumentów, zwykle jako część selektora dokumentów. O to zezwolenie powinna ubiegać się tylko aplikacja do zarządzania dokumentami platformy. Zezwolenia tego nie można przyznać aplikacjom innych firm.

  • Licencja: android.permission.MANAGE_DOCUMENTS
  • Używany przez TigerVPN
8. DUMP

Zezwala aplikacji na pobieranie informacji o zrzutach stanu z usług systemowych. Nie do użytku przez aplikacje innych firm.

  • Licencja: android.permission.DUMP
  • Używany przez PureVPN

Wyniki

W ostatniej tabeli wymieniliśmy wszystkie testowane sieci VPN i ich uprawnienia ogółem, uprawnienia niestandardowe i podejrzane uprawnienia.

Tabela 3. Aplikacje VPN uszeregowane według żądanych uprawnień

Nazwa VPN .nazwa pliku apk Podejrzane uprawnienia Łączne uprawnienia Uprawnienia niestandardowe
Yoga VPN com.yogavpn 6 13 2)
ProXPN com.proxpn.proxpn 5 16 5
Dash VPN com.actmobile.dashvpn 5 14 2)
Seed 4 Me me.seed4.app.android 4 17 4
oVPNSpider com.ovpnspider 4 8 0
SwitchVPN com.switchvpn.ovpn 4 12 3)
Hola org.hola 4 15 1
Zoog VPN com.zoogvpn.android 4 13 2)
Darmowe VPN org org.freevpn 3) 12 2)
VPN Jedno kliknięcie com.vpnoneclick.android 3) 7 0
Goose VPN com.goosevpn.gooseandroid 3) 11 3)
TouchVPN com.northghost.touchvpn 3) 14 3)
SurfEasy com.surfeasy 3) 14 3)
Psiphon VPN com.psiphon3.subscription 3) 11 0
Speedify com.speedify.speedifyandroid 3) 12 1
TigerVPN com.tigeratwork.tigervpn 3) 9 1
Hotspot Shield VPN hotspotshield.android.vpn 3) 16 3)
ibVPN com.ibvpn.client 3) 8 0
Betternet com.freevpnintouch 2) 16 4
OneVPN com.dave.onevpnfresh 2) 9 2)
Windscribe com.windscribe.vpn 2) 14 2)
X-VPN com.security.xvpn.z35kb 2) 13 2)
Star VPN com.peach.vpn 2) 10 2)
HideMyAss com.hidemyass.hidemyassprovpn 2) 19 6
Śr. VPN com.avg.android.vpn 2) 19 6
SpyOFF com.spyoff.client.android 2) 5 0
PureVPN com.gaditek.purevpnics 2) 21 6
Strefa zaufania zone.trust.vpn 2) 5 0
Mcafee Safe Connect com.mcafee.safeconnect.android 2) 10 2)
Kaspersky VPN com.kaspersky.secure.connection 2) 17 4
SurfShark com.surfshark.vpnclient.android 2) 14 4
VPN Secure com.vpnsecure.pty.ltd 2) 9 1
Ivacy com.ivacy 1 11 2)
Avira Phantom VPN com.avira.vpn.AviraVPNApplication 1 13 1
Norton Secure VPN com.symantec.securewifi 1 13 3)
Thunder VPN com.fast.free.unblock.thunder.vpn 1 9 3)
AppVPN appvpn.vpn 1 8 2)
Avast VPN com.avast.android.vpn 1 19 7
VPN w kontakcie com.vpnintouch.android 1 9 2)
iVPN net.ivpn.client 1 6 0
VPN bez ograniczeń com.simplexsolutionsinc.vpn_unlimited 1 17 4
OpenVPN de.blinkt.openvpn 1 5 0
Hide My IP com.hidemyip.hideme 1 10 1
PrivateVPN com.pvpn.privatevpn 1 7 0
Obszar VPN com.vpnarea 1 5 0
AirVPN org.airvpn.eddie 1 4 0
Anonimowy VPN com.aprovpn.openvpn 1 4 0
NordVPN com.nordvpn.android 1 14 4
Prywatny dostęp do Internetu com.privateinternetaccess.android 1 5 0
VPN ac ac.vpn.androidapp 1 5 1
StrongVPN com.strongvpn 0 5 0
Hoxx VPN com.hoxxvpn.main 0 3) 0
TurboVPN free.vpn.unblock.proxy.turbovpn 0 7 2)
VPN Master free.vpn.unblock.proxy.vpn.master.pro 0 7 2)
Odłącz mnie com.disconnect.samsungcontentblocker 0 3) 1
HexaTech tech.hexa 0 12 4
CyberGhost de.mobileconcepts.cyberghost 0 11 4
AstrillVPN com.astrill.astrillvpn 0 2) 0
Torguard net.torguard.openvpn.client 0 6 0
UltraSurf us.ultrasurf.mobile.ultrasurf 0 1 0
ProtonVPN com.protonvpn.android 0 5 0
VPN 360 co.infinitysoft.vpn360 0 6 2)
F-Secure VPN com.fsecure.freedome.vpn.security.privacy.android 0 10 2)
IPVanish com.ixolit.ipvanish 0 5 0
Przeglądaj VPN com.browsec.vpn 0 8 2)
Cactus VPN cactusvpn.app 0 8 2)
Prywatny tunel net.openvpn.privatetunnel 0 6 0
Buforowana sieć VPN com.buffered.vpn 0 4 0
LiquidVPN com.liquidvpn.liquidvpn 0 3) 0
BlackVPN com.blackvpn 0 7 2)
Hotspot VPN com.hotspotvpn.android 0 5 0
DotVPN com.dotvpn.vpn 0 5 0
ZenMate com.zenmate.android 0 12 4
Szyfruj mnie com.stackpath.cloak 0 10 3)
ExpressVPN com.expressvpn.vpn 0 10 2)
SaferVPN com.safervpn.android 0 8 2)
Najszybszy VPN com.vpn.fastestvpnservice 0 6 2)
VPNHub com.appatomic.vpnhub 0 9 3)
Tunel VPN com.oneonone.vpntunnel.android 0 8 2)
VyprVPN com.goldenfrog.vyprvpn.app 0 8 2)

Link do arkusza kalkulacyjnego wszystkich uprawnień wymaganych przez VPN.

Teoretycznie aplikacje VPN powinny potrzebować tylko kilku uprawnień do działania. INTERNET i ACCESS_NETWORK_STATE zwykle powinny wystarczyć.

Jednak średnio 11 uprawnień jest wymaganych na aplikację VPN.

Android zapewnia szeroką gamę możliwych uprawnień do korzystania z aplikacji. Jednak aplikacje mogą również definiować własne uprawnienia. W wielu przypadkach uprawnienia te są łagodne, na przykład zezwalanie aplikacji na komunikowanie się z systemami chmurowymi producenta (często wymagane w przypadku tych aplikacji).

Wyżej znajdują się aplikacje VPN, które mają najbardziej niebezpieczne uprawnienia, które mogą wpłynąć na prywatność użytkownika. Szczególnie Yoga VPN, ProxPN i TigerVPN

Jednak użycie dużej liczby niebezpiecznych uprawnień może być powodem do podejrzeń.

Wybierając i instalując aplikację VPN na Androida, ważne jest zwrócenie uwagi na uprawnienia. Przeczytaj opis i zastanów się, czy aplikacja naprawdę potrzebuje możliwości nagrania Cię w celu świadczenia usługi VPN. Niektóre aplikacje największych firm okazały się najbardziej podejrzane w tym badaniu, więc nie można ufać wielkim nazwiskom.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me