Android VPN-tillatelser – Studie av 2019

Android VPN-forutsetningerHensikten med en tillatelse er å beskytte personvernet til en Android-bruker.


I følge Android-dokumentasjon for apputviklere, faller tillatelsene i to grupper - normalt og farlig.

  • Normale tillatelser - Ikke utgjør noen risiko for brukerens personvern og tildeles automatisk av systemet til appen.
  • Farlige tillatelser - Kan potensielt påvirke brukernes personvern eller enhetens normale drift, må brukeren eksplisitt samtykke i å gi disse tillatelsene.

Som VPN-bruker vil du at VPN ikke skal spørre noen form for farlige tillatelser som ikke er nødvendige for at VPN-appen skal fungere eller som kan kompromittere personvernet ditt.

I denne studien, 81 Android VPN-apper ble evaluert basert på tillatelsene de ber om.

Målet vårt var å finne ut de mest brukte tillatelsene fra VPN-appene, så vel som de tvilsomme og mer mistenkelige tillatelsene som enten ikke er nødvendige for at VPN-appen skal fungere eller krenker brukerens personvern eller sikkerhet.

Alle testede apper ble lastet ned fra Google Play-butikken, og tillatelseslistene ble trukket ut direkte fra appens .apk-fil. Her er et mer detaljert Google-regneark med alle tillatelser fra de testede Android VPN-appene.

Vanligvis stilte tillatelser av VPN-er

Android har en rekke forskjellige tillatelser for forskjellige formål. Avhengig av hva en app vil gjøre og hvordan den gjør det, kan det hende det trenger et annet sett med tillatelser. Tabell 1 viser de vanligste tillatelsene som VPN-appene etterspør i denne studien.

Tabell 1. Vanligvis etterspurte tillatelser for Android VPN-apper.

  • Grønn: Normal - tillatelser gitt automatisk av Android-systemet.
  • Rød: Dangerous - tillatelser som går ut over brukerens personvern eller system (bruker må være enig).

Tillatelse

Telle

android.permission.INTERNET

Lar VPN-applikasjoner åpne nettverksuttak.

81
android.permission.ACCESS_NETWORK_STATE

Lar VPN-applikasjoner få tilgang til informasjon om nettverk.

79
android.permission.WAKE_LOCK

For å holde enheten våken.

58
android.permission.RECEIVE_BOOT_COMPLETED

For å varsle om omstart av enheten er fullført.

55
android.permission.ACCESS_WIFI_STATE

Lar VPN-applikasjoner få tilgang til informasjon om Wi-Fi-nettverk.

54
com.android.vending.BILLING

For faktureringsformål i appen.

50
com.google.android.c2dm.permission.RECEIVE

Trykk på varsler.

49
com.google.android.finsky.permission.BIND_GET_INSTALL_REFERRER_SERVICE

Gir VPN-utviklerne informasjon om hvordan brukerne kom til appen før installasjonen.

32
android.permission.WRITE_EXTERNAL_STORAGE

Lar VPN skrive til ekstern lagring, for eksempel SD.

27
android.permission.READ_EXTERNAL_STORAGE

Lar VPN lese fra ekstern lagring, for eksempel SD.

27
android.permission.FOREGROUND_SERVICE

For å holde VPN-applikasjonen i gang.

20
android.permission.READ_PHONE_STATE

Tillater bare lesetilgang til telefonstatus, inkludert enhetens telefonnummer, gjeldende mobilnettinformasjon og status for eventuelle pågående samtaler.

18
android.permission.ACCESS_COARSE_LOCATION

Lar APIen bruke WiFi eller mobilcelle-data (eller begge deler) for å bestemme enhetens plassering.

16
android.permission.CHANGE_WIFI_STATE

Lar VPN-applikasjoner endre status for Wi-Fi-tilkobling.

16
android.permission.ACCESS_FINE_LOCATION

Lar VPN-app få tilgang til brukerne nøyaktig plassering.

9

Mange av tillatelsene ovenfor er nødvendige for at en VPN skal fungere. Disse inkluderer å få tilgang til Internett, sjekke tilkoblingsstatusen din og holde appen din våken. Disse er helt normale og burde ikke forårsake noen bekymring. De er oppført som “normale” av Android-utviklerne.

Noen tillatelser, for eksempel android.permission.INTERNET og android.permission.ACCESS_NETWORK_STATE ble automatisk gitt til alle VPN-appene.

I denne listen var det imidlertid også "farlige" tillatelser som potensielt kan kompromittere brukernes personvern for Android. Disse var relatert til å få tilgang til ditt nøyaktige sted, enhetsnavn, telefonnummer og lese SD-kortet ditt.

Svar fra Alex (Seed 4 Me VPN):

android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
Plasseringstillatelsen kreves for å få navnet på Wi-Fi-nettverk. I applikasjonen vår har vi en "Trusted Networks" -funksjon. Applikasjonen varsler brukere når de er koblet til et nytt Wi-Fi-nettverk, og hvis nettverket ikke er i listen over Trusted Networks, råder appen brukeren til å bruke VPN. Det er en nyttig funksjon for personvern, spesielt når du er koblet til gratis Wi-Fi på et hotell eller kafé. Android-operativsystemet krever tillatelse siden Android 9, tidligere versjoner av applikasjonen vår ikke krever tillatelse. Programmet ber om tillatelse på startskjermen og har meldingen som forklarer hvorfor den krever tillatelse. Hvis brukeren ikke vil bruke "Trusted Networks" -funksjonen, kan han enten ikke gi tilgang på startskjermen eller senere deaktivere tilgangen til applikasjonen vår til denne funksjonen i systeminnstillinger (Innstillinger > Apps & Varsler > Seed4.Me VPN > tillatelser > Plassering). Alle andre funksjoner i applikasjonen vil fungere helt fint.android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE

Tillatelsene til å lese og skrive fra ekstern lagring kreves for å samle feillogg. Vi har 24/7 support og hvis applikasjonen ikke fungerer som forventet, kan brukerne samle logger for tech. støtte ved å trykke lenge på “Support” -knappen. Applikasjonen vil spørre om brukeren ønsker å aktivere loggsamling, og hvis brukeren samtykker, vil applikasjonen lagre loggen sin på ekstern stasjon. Bruker kan reprodusere problemet og trykke på "Support" -knappen igjen for å sende en e-post til vårt supportteam. Loggen blir automatisk knyttet til e-posten og fjernet fra ekstern lagring.

Applikasjonen ber ikke om tillatelser før brukeren ønsker å samle loggene. Som standard er tillatelsen Deaktivert for applikasjonen, og andre funksjoner i applikasjonen krever ikke dem. Hvis brukeren samler logger en gang, kan han deaktivere tilgang i innstillingene (Innstillinger > Apps & Varsler > Seed4.Me VPN > tillatelser > Oppbevaring).

En titt på "farlige" tillatelser

Når vi hadde identifisert alle tillatelsene til hver 81 VPN-er (inkludert de vanlige), filtrerte vi ut tillatelser som ikke var nødvendig for at en VPN-app skal fungere og potensielt kan skade brukerens personvern.

Mange av VPN-appene som er gjennomgått i denne studien, ber om tillatelser som ikke er nødvendig for at en VPN skal fungere.

Noen tillatelser er ganske ufarlige. Liker muligheten til å få telefonen til å vibrere eller skyve appvarsler.

Andre er imidlertid mer mistenksomme. Selv om disse tillatelsene kan brukes til godartede formål (dvs. be om tilgang til coare-plassering er en måte å få navnet på et WiFi-nettverk for å håndtere på nytt), har de også muligheten til å kompromittere brukerens personvern.

Andre har ikke noe legitimt formål i en VPN-app, som WRITE_SETTINGS som lar VPN-appen skrive systeminnstillingene eller READ_LOGS, som lar VPN-appen lese systemloggfilene på lavt nivå.

Tabell 2. Apper med mest mistenkelige / farlige tillatelser

VPN-navn # farlig tillatelse Eksakt tillatelsesnavn
Yoga VPN

Google Play-kobling

6 android.permission.ACCESS_FINE_LOCATION
android.permission.READ_PHONE_STATE
android.permission.WRITE_SETTINGS
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
proXPN VPN

Google Play-kobling

5 android.permission.ACCESS_FINE_LOCATION
android.permission.READ_PHONE_STATE
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
Hola Gratis VPN

Google Play-kobling

4 android.permission.READ_PHONE_STATE
android.permission.ACCESS_FINE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
Seed4.Me VPN

Google Play-kobling

4 android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
OvpnSpider

Google Play-kobling

4 android.permission.ACCESS_FINE_LOCATION
android.permission.READ_LOGS
android.permission.ACCESS_COARSE_LOCATION
android.permission.WRITE_EXTERNAL_STORAGE
SwitchVPN

Google Play-kobling

4 android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
Zoog VPN

Google Play-kobling

4 android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE

Det meste angående tillatelser ble brukt av Yoga VPN-appen (5+ millioner installasjoner på Google Play) og oVPNSpider som ba om tillatelser til å lese og skrive systeminnstillinger, få tilgang til din telefonstatus og din nøyaktige beliggenhet med mulighet til å lese og skrive til SD som er ikke påkrevd for at en VPN-app skal fungere.

En annen bemerkelsesverdig tillatelse brukt av oVPNSpider og tigerVPN er READ_LOGS-tillatelsen. Denne tillatelsen er ikke lenger tilgjengelig for tredjepartsapper (som VPN-er) på grunn av personvernhensyn, og appen bør ikke be om det i det hele tatt.

Nedenfor er forklaringer på mistenkelige tillatelser spurt av Android VPN-apper:

1. WRITE_EXTERNAL_STORAGE og READ_EXTERNAL_STORAGE

Lar VPN lese og skrive til ekstern lagring - ikke nødvendig for at en VPN-app skal fungere og kan kompromittere brukerens personvern.

  • Tillatelse: android.permission.WRITE_EXTERNAL_STORAGE og READ_EXTERNAL_STORAGE
  • Brukt av følgende 27 VPN-apper: Betternet, Gratis VPN org, OneVPN, X-VPN, StarVPN, VPN One Click, Yoga VPN, AppVPN, ProXPN, Seed4me VPN, oVPNSpider, Goose VPN, SpyOFF, TouchVPN, SwitchVPN, Trust Zone, McAfee VPN, SurfEasy, Psiph, TigerVPN, Dash VPN, Hotspot Shield, NordVPN, Hola VPN, SurfShark, VPN Secure, Zoog VPN.
2. LES_PHONE_STATE

Lar VPN bare lesetilgang til telefonstatus, inkludert enhetens telefonnummer, gjeldende mobilnettinformasjon og status for eventuelle pågående samtaler - ikke nødvendig for at en VPN skal fungere.

  • Tillatelse: android.permission.READ_PHONE_STATE
  • Brukt av følgende Android 18 VPN-apper: Avira VPN, Gratis VPN org, Norton Secure VPN, VPN One Click, Yoga VPN, HideMyAss, AVG VPN, ProXPN, Goose VPN, Touch VPN, McAfee VPN, SurfEasy, Kaspersky VPN, Speedify, Dash VPN, Hotspot Shield, ibVPN, Hola VPN.
3. ACCESS_COARSE_LOCATION

Tillater VPN å bruke WiFi eller mobildeltdata (eller begge deler) for å bestemme enhetens plassering - potensiell personvernrisiko.

  • Tillatelse: android.permission.ACCESS_COARSE_LOCATION
  • Brukt av følgende 16 VPN-apper: WindScribe, Gratis VPN org, Yoga VPN, HideMyAss, Avast VPN, AVG VPN, iVPN, ProXPN, oVPNSpider, TouchVPN, SwitchVPN, Kaspersky VPN, Psiphon VPN, Speedify, Dash VPN, Zoog VPN .
4. ACCESS_FINE_LOCATION

Lar en VPN-app få tilgang til brukerens nøyaktige beliggenhet - høy personvernrisiko. 

  • Tillatelse: android.permission.ACCESS_FINE_LOCATION
  • Brukt av følgende 9 VPN-apper: Yoga VPN, VPN Unlimited, ProXPN, Seed4me VPN, oVPNSpider, SwitchVPN, Dash VPN, Hola VPN, Zoog VPN
5. WRITE_SETTINGS

Lar VPN-appen lese eller skrive systeminnstillingene - høy sikkerhets- og personvernrisiko.

  • Tillatelse: android.permission.WRITE_SETTINGS
  • Brukt av følgende 3 VPN-apper: Speedify og Yoga VPN.
6. LES_LOGGER

Lar VPN-appen lese systemloggfilene på lavt nivå. Ikke til bruk av tredjepartsapplikasjoner, fordi Loggoppføringer kan inneholde brukerens private informasjon - høy personvernrisiko.

  • Tillatelse: android.permission.READ_LOGS
  • Brukt av følgende 2 VPN-apper: TigerVPN, oVPNSpider.
7. MANAGE_DOCUMENTS

Lar VPN-applikasjonen administrere tilgang til dokumenter, vanligvis som en del av et dokumentvalg. Denne tillatelsen bør bare etterspørres av plattformdokumentadministrasjonsappen. Denne tillatelsen kan ikke gis til tredjepartsapper.

  • Tillatelse: android.permission.MANAGE_DOCUMENTS
  • Brukt av TigerVPN
8. DUMP

Lar en applikasjon hente informasjon om statlig dump fra systemtjenester. Ikke til bruk av tredjeparts applikasjoner.

  • Tillatelse: android.permission.DUMP
  • Brukt av PureVPN

Resultatene

I den siste tabellen viser vi alle VPN-ene vi testet og tillatelsene deres totalt, tilpassede tillatelser og mistenkelige tillatelser.

Tabell 3. VPN-apper rangert etter forespurte tillatelser

VPN-navn .apk filnavn Mistenkelige tillatelser Totalt tillatelse Tilpassede tillatelser
Yoga VPN com.yogavpn 6 1. 3 2
ProXPN com.proxpn.proxpn 5 16 5
Dash VPN com.actmobile.dashvpn 5 14 2
Seed 4 Me me.seed4.app.android 4 17 4
oVPNSpider com.ovpnspider 4 8 0
SwitchVPN com.switchvpn.ovpn 4 12 3
Hola org.hola 4 15 1
Zoog VPN com.zoogvpn.android 4 1. 3 2
Gratis VPN org org.freevpn 3 12 2
VPN ett klikk com.vpnoneclick.android 3 7 0
Goose VPN com.goosevpn.gooseandroid 3 11 3
TouchVPN com.northghost.touchvpn 3 14 3
SurfEasy com.surfeasy 3 14 3
Psiphon VPN com.psiphon3.subscription 3 11 0
Speedify com.speedify.speedifyandroid 3 12 1
TigerVPN com.tigeratwork.tigervpn 3 9 1
Hotspot Shield VPN hotspotshield.android.vpn 3 16 3
ibVPN com.ibvpn.client 3 8 0
Betternet com.freevpnintouch 2 16 4
OneVPN com.dave.onevpnfresh 2 9 2
Windscribe com.windscribe.vpn 2 14 2
X-VPN com.security.xvpn.z35kb 2 1. 3 2
Star VPN com.peach.vpn 2 10 2
HideMyAss com.hidemyass.hidemyassprovpn 2 19 6
Gjennomsnittlig VPN com.avg.android.vpn 2 19 6
SpyOFF com.spyoff.client.android 2 5 0
PureVPN com.gaditek.purevpnics 2 21 6
Tillitssone zone.trust.vpn 2 5 0
Mcafee Safe Connect com.mcafee.safeconnect.android 2 10 2
Kaspersky VPN com.kaspersky.secure.connection 2 17 4
SurfShark com.surfshark.vpnclient.android 2 14 4
VPN Secure com.vpnsecure.pty.ltd 2 9 1
Ivacy com.ivacy 1 11 2
Avira Phantom VPN com.avira.vpn.AviraVPNApplication 1 1. 3 1
Norton Secure VPN com.symantec.securewifi 1 1. 3 3
Torden VPN com.fast.free.unblock.thunder.vpn 1 9 3
AppVPN appvpn.vpn 1 8 2
Avast VPN com.avast.android.vpn 1 19 7
VPN i berøring com.vpnintouch.android 1 9 2
iVPN net.ivpn.client 1 6 0
VPN Ubegrenset com.simplexsolutionsinc.vpn_unlimited 1 17 4
OpenVPN de.blinkt.openvpn 1 5 0
Skjul min IP com.hidemyip.hideme 1 10 1
PrivateVPN com.pvpn.privatevpn 1 7 0
VPN-området com.vpnarea 1 5 0
AirVPN org.airvpn.eddie 1 4 0
Anonym VPN com.aprovpn.openvpn 1 4 0
NordVPN com.nordvpn.android 1 14 4
Privat internettilgang com.privateinternetaccess.android 1 5 0
VPN ac ac.vpn.androidapp 1 5 1
StrongVPN com.strongvpn 0 5 0
Hoxx VPN com.hoxxvpn.main 0 3 0
TurboVPN free.vpn.unblock.proxy.turbovpn 0 7 2
VPN Master free.vpn.unblock.proxy.vpn.master.pro 0 7 2
Koble fra meg com.disconnect.samsungcontentblocker 0 3 1
HexaTech tech.hexa 0 12 4
CyberGhost de.mobileconcepts.cyberghost 0 11 4
AstrillVPN com.astrill.astrillvpn 0 2 0
Torguard net.torguard.openvpn.client 0 6 0
Ultrasurf us.ultrasurf.mobile.ultrasurf 0 1 0
ProtonVPN com.protonvpn.android 0 5 0
VPN 360 co.infinitysoft.vpn360 0 6 2
F-Secure VPN com.fsecure.freedome.vpn.security.privacy.android 0 10 2
IPVanish com.ixolit.ipvanish 0 5 0
Browsec VPN com.browsec.vpn 0 8 2
Kaktus VPN cactusvpn.app 0 8 2
Privat tunnel net.openvpn.privatetunnel 0 6 0
Bufret VPN com.buffered.vpn 0 4 0
LiquidVPN com.liquidvpn.liquidvpn 0 3 0
BlackVPN com.blackvpn 0 7 2
Hotspot VPN com.hotspotvpn.android 0 5 0
DotVPN com.dotvpn.vpn 0 5 0
ZenMate com.zenmate.android 0 12 4
Krypter meg com.stackpath.cloak 0 10 3
ExpressVPN com.expressvpn.vpn 0 10 2
SaferVPN com.safervpn.android 0 8 2
FastestVPN com.vpn.fastestvpnservice 0 6 2
VPNHub com.appatomic.vpnhub 0 9 3
VPN-tunnel com.oneonone.vpntunnel.android 0 8 2
VyprVPN com.goldenfrog.vyprvpn.app 0 8 2

Kobling til regnearket med alle tillatelsene som VPN-er har stilt.

I teorien skal VPN-apper bare trenge noen få tillatelser for å fungere. INTERNETT og ACCESS_NETWORK_STATE bør vanligvis være nok.

Imidlertid stilles det i gjennomsnitt 11 tillatelser per VPN-app.

Android gir et bredt utvalg av mulige tillatelser for applikasjoner å dra nytte av. Imidlertid er det også potensialet for at apper også kan definere egne tillatelser. I mange tilfeller er disse tillatelsene godartede, som å la en app snakke med produsentens skysystemer (ofte etterspurt for disse appene).

Høyere opp i tabellen er VPN-apper som har de farligste tillatelsene som kan påvirke brukernes personvern. Spesielt Yoga VPN, ProxPN og TigerVPN

Imidlertid bruk av et stort antall farlige tillatelser kan være grunn til mistanke.

Når du velger og installerer en VPN-app på Android, er det viktig å ta hensyn til tillatelser. Les beskrivelsen og tenk på om appen virkelig trenger muligheten til å registrere deg for å kunne tilby en VPN-tjeneste. Noen av appene fra de største selskapene viste seg å være de mest mistenkelige i denne studien, så du kan ikke bare stole på de store navnene.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me