Android VPN-behörigheter – Studie av 2019

Android VPN-premiärerSyftet med en tillstånd är att skydda en Android-användares integritet.

Enligt Android-dokumentation för apputvecklare faller behörigheterna i två grupper - normalt och farligt.

  • Normala behörigheter - Utgör inte risk för användarens integritet och tilldelas automatiskt av systemet till appen.
  • Farliga behörigheter - Kanske potentiellt kan påverka användarens integritet eller enhetens normala funktion, måste användaren uttryckligen godkänna att bevilja dessa behörigheter.

Som VPN-användare vill du att ditt VPN inte ska be någon form av farliga behörigheter som inte behövs för att VPN-appen ska fungera eller som kan äventyra din integritet.

i den här studien, 81 Android VPN-appar utvärderades baserat på behörigheterna som de begär.

Vårt mål var att ta reda på de mest använda behörigheterna för VPN-apparna samt de tvivelaktiga och mer misstänkta behörigheter som antingen inte behövs för att VPN-appen ska fungera eller kränker användarens integritet eller säkerhet.


Alla testade appar laddades ner från Google Play-butiken och behörighetslistorna extraherades direkt från appens .apk-fil. Här är ett mer detaljerat Google-kalkylblad med alla behörigheter från de testade Android VPN-apparna.

Vanligtvis ställda tillstånd av VPN: er

Android har en mängd olika behörigheter för olika ändamål. Beroende på vad en app vill göra och hur den gör det kan den behöva en annan uppsättning behörigheter. Tabell 1 visar de vanligaste behörigheterna som VPN-apparna begär i denna studie.

Tabell 1. Vanligtvis begärda behörigheter för Android VPN-appar.

  • Grön: Normal - behörigheter som beviljas automatiskt av Android-systemet.
  • Röd: Farligt - behörigheter som äventyrar användarens integritet eller system (användaren måste acceptera).

Lov

Räkna

android.permission.INTERNET

Tillåter VPN-applikationer att öppna nätverksuttag.

81
android.permission.ACCESS_NETWORK_STATE

Tillåter VPN-applikationer att få åtkomst till information om nätverk.

79
android.permission.WAKE_LOCK

För att hålla enheten vaken.

58
android.permission.RECEIVE_BOOT_COMPLETED

För att meddela om omstart av enheten är klar.

55
android.permission.ACCESS_WIFI_STATE

Tillåter VPN-applikationer att få åtkomst till information om Wi-Fi-nätverk.

54
com.android.vending.BILLING

För faktureringsändamål i appen.

50
com.google.android.c2dm.permission.RECEIVE

Pushnotifikationer.

49
com.google.android.finsky.permission.BIND_GET_INSTALL_REFERRER_SERVICE

Ger VPN-utvecklarna information om hur användarna kom till appen innan de installerades.

32
android.permission.WRITE_EXTERNAL_STORAGE

Tillåter VPN att skriva till extern lagring, till exempel SD.

27
android.permission.READ_EXTERNAL_STORAGE

Låter VPN läsa från extern lagring, till exempel SD.

27
android.permission.FOREGROUND_SERVICE

För att hålla VPN-applikationen igång.

20
android.permission.READ_PHONE_STATE

Tillåter läsbehörighet endast till telefonstatus, inklusive enhetens telefonnummer, aktuell mobilnätinformation och status för pågående samtal.

18
android.permission.ACCESS_COARSE_LOCATION

Tillåter API att använda WiFi eller mobilcelldata (eller båda) för att bestämma enhetens plats.

16
android.permission.CHANGE_WIFI_STATE

Tillåter VPN-applikationer att ändra Wi-Fi-anslutningsstatus.

16
android.permission.ACCESS_FINE_LOCATION

Låter VPN-appen få åtkomst till användare exakt plats.

9

Många av behörigheterna ovan behövs för att ett VPN ska fungera. Dessa inkluderar att få tillgång till Internet, kontrollera din anslutningsstatus och hålla din app vaken. Dessa är helt normala och bör inte orsaka oro. De är listade som "normala" av Android-utvecklarna.

Vissa behörigheter, som android.permission.INTERNET och android.permission.ACCESS_NETWORK_STATE beviljades automatiskt till alla VPN-appar.

Men i den här listan fanns det också "farliga" behörigheter som potentiellt kan äventyra Android-användarnas integritet, dessa var relaterade till att få tillgång till din exakta plats, enhetsnamn, ditt telefonnummer och läsa ditt SD-kort.

Svar från Alex (Seed 4 Me VPN):

android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
Den platstillstånd som krävs för att få namn på Wi-Fi-nätverk. I vår applikation har vi en "Trusted Networks" -funktion. Applikationen meddelar användare när de är anslutna till ett nytt Wi-Fi-nätverk och om nätverket inte finns i listan över betrodda nätverk, råder appen användaren att använda VPN. Det är en användbar funktion för integritetsskydd, särskilt när du är ansluten till en gratis Wi-Fi på ett hotell eller café. Android-operativsystem kräver tillstånd eftersom Android 9, tidigare versioner av vår applikation inte krävde tillstånd. Programmet ber om tillstånd på startskärmen och har meddelandet som förklarar varför det kräver tillstånd. Om användaren inte vill använda "Trusted Networks" -funktionen kan han antingen inte ge åtkomst på startskärmen eller senare inaktivera åtkomsten till vår applikation till den här funktionen i systeminställningar (Inställningar > Apps & anmälningar > Seed4.Me VPN > Behörigheter > Plats). Alla andra funktioner i applikationen fungerar bra.android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE

Behörigheterna för att läsa och skriva från extern lagring krävs för att samla in fellogg. Vi har 24/7 support och om applikationen inte fungerar som förväntat kan användare samla in loggar för tech. stöd genom att trycka länge på “Support” -knappen. Programmet kommer att fråga om användaren vill aktivera loggsamling och om användaren samtycker kommer programmet att spara sin logg på en extern enhet. Användaren kan återge problemet och trycka på "Support" -knappen igen för att skicka ett e-postmeddelande till vårt supportteam. Loggen bifogas automatiskt till e-postmeddelandet och tas bort från extern lagring.

Programmet begär inte behörigheterna förrän användaren vill samla in loggarna. Som standard är tillståndet Inaktiverat för applikationen och andra funktioner i applikationen kräver inte dem. Om användaren samlar in loggar en gång kan han inaktivera åtkomst i inställningar (Inställningar > Apps & anmälningar > Seed4.Me VPN > Behörigheter > Lagring).

En titt på "farliga" behörigheter

När vi hade identifierat alla behörigheter för varje 81 VPN: er (inklusive de vanliga) filtrerade vi ut behörigheter som inte behövdes för att en VPN-app ska fungera och kan potentiellt skada användarens integritet.

Många av VPN-apparna som granskats i denna studie begär behörigheter som inte behövs för att ett VPN ska fungera.

Vissa behörigheter är ganska ofarliga. Gilla möjligheten att få telefonen att vibrera eller trycka på appaviseringar.

Men andra är mer misstänkta. Även om dessa behörigheter kan användas för godartade ändamål (dvs. att begära åtkomst till coare-plats är ett sätt att få namnet på ett WiFi-nätverk för att hantera återanslutningar), har de också möjligheten att kompromissa med användarens integritet.

Andra har inget legitimt syfte i en VPN-app, som WRITE_SETTINGS vilket gör att VPN-appen kan skriva systeminställningarna eller READ_LOGS, vilket gör att VPN-appen kan läsa systemloggfiler på låg nivå.

Tabell 2. Appar med mest misstänkta / farliga behörigheter

VPN-namn # med farligt tillstånd Exakt behörighetsnamn
Yoga VPN

Google Play-länk

6 android.permission.ACCESS_FINE_LOCATION
android.permission.READ_PHONE_STATE
android.permission.WRITE_SETTINGS
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
proXPN VPN

Google Play-länk

5 android.permission.ACCESS_FINE_LOCATION
android.permission.READ_PHONE_STATE
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
Hola Free VPN

Google Play-länk

4 android.permission.READ_PHONE_STATE
android.permission.ACCESS_FINE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
Seed4.Me VPN

Google Play-länk

4 android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
OvpnSpider

Google Play-länk

4 android.permission.ACCESS_FINE_LOCATION
android.permission.READ_LOGS
android.permission.ACCESS_COARSE_LOCATION
android.permission.WRITE_EXTERNAL_STORAGE
SwitchVPN

Google Play-länk

4 android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
Zoog VPN

Google Play-länk

4 android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE

Det mest angående behörigheterna användes av Yoga VPN-appen (5+ miljoner installationer på Google Play) och oVPNSpider som bad om behörigheter att läsa och skriva systeminställningar, få tillgång till ditt telefonstatus och din exakta plats med möjlighet att läsa och skriva till SD som krävs inte för att en VPN-app ska fungera.

Ett annat anmärkningsvärt tillstånd som används av oVPNSpider och tigerVPN är READ_LOGS-tillståndet. Denna behörighet är inte längre tillgänglig för tredjepartsappar (som VPN) på grund av sekretessproblem, och appen bör inte begära det alls.

Nedan följer förklaringar om misstänkta behörigheter som ställs av Android VPN-appar:

1. WRITE_EXTERNAL_STORAGE och READ_EXTERNAL_STORAGE

Låter VPN läsa och skriva till extern lagring - behövs inte för att en VPN-app ska fungera och kan äventyra användarens integritet.

  • Behörighet: android.permission.WRITE_EXTERNAL_STORAGE och READ_EXTERNAL_STORAGE
  • Används av följande 27 VPN-appar: Betternet, Gratis VPN org, OneVPN, X-VPN, StarVPN, VPN One Click, Yoga VPN, AppVPN, ProXPN, Seed4me VPN, oVPNSpider, Goose VPN, SpyOFF, TouchVPN, SwitchVPN, Trust Zone, McAfee VPN, SurfEasy, Psiph, TigerVPN, Dash VPN, Hotspot Shield, NordVPN, Hola VPN, SurfShark, VPN Secure, Zoog VPN.
2. LÄS_PHONE_STATE

Tillåter VPN endast läsåtkomst till telefonstatus, inklusive enhetens telefonnummer, aktuell mobilnätinformation och status för pågående samtal - inte nödvändigt för att ett VPN ska fungera.

  • Behörighet: android.permission.READ_PHONE_STATE
  • Används av följande Android 18 VPN-appar: Avira VPN, Gratis VPN org, Norton Secure VPN, VPN One Click, Yoga VPN, HideMyAss, AVG VPN, ProXPN, Goose VPN, Touch VPN, McAfee VPN, SurfEasy, Kaspersky VPN, Speedify, Dash VPN, Hotspot Shield, ibVPN, Hola VPN.
3. ACCESS_COARSE_LOCATION

Tillåter VPN att använda WiFi eller mobil celldata (eller båda) för att bestämma enhetens plats - potentiell integritetsrisk.

  • Behörighet: android.permission.ACCESS_COARSE_LOCATION
  • Används av följande 16 VPN-appar: WindScribe, Gratis VPN org, Yoga VPN, HideMyAss, Avast VPN, AVG VPN, iVPN, ProXPN, oVPNSpider, TouchVPN, SwitchVPN, Kaspersky VPN, Psiphon VPN, Speedify, Dash VPN, Zoog VPN .
4. ACCESS_FINE_LOCATION

Låter en VPN-app komma åt användarens exakta plats - hög sekretessrisk. 

  • Behörighet: android.permission.ACCESS_FINE_LOCATION
  • Används av följande 9 VPN-appar: Yoga VPN, VPN Unlimited, ProXPN, Seed4me VPN, oVPNSpider, SwitchVPN, Dash VPN, Hola VPN, Zoog VPN
5. WRITE_SETTINGS

Låter VPN-appen läsa eller skriva systeminställningarna - hög säkerhets- och integritetsrisk.

  • Behörighet: android.permission.WRITE_SETTINGS
  • Används av följande 3 VPN-appar: Speedify och Yoga VPN.
6. LÄS_LOGGAR

Låter VPN-appen läsa systemloggfiler på låg nivå. Inte för användning av tredjepartsapplikationer, eftersom loggposter kan innehålla användarens privata information - hög sekretessrisk.

  • Behörighet: android.permission.READ_LOGS
  • Används av följande 2 VPN-appar: TigerVPN, oVPNSpider.
7. MANAGE_DOCUMENTS

Tillåter VPN-applikation att hantera åtkomst till dokument, vanligtvis som en del av en dokumentväljare. Denna behörighet bör endast begäras av plattformens dokumenthanteringsapp. Det här tillståndet kan inte ges till tredjepartsappar.

  • Behörighet: android.permission.MANAGE_DOCUMENTS
  • Används av TigerVPN
8. DUMP

Tillåter en applikation att hämta information om statlig dumpning från systemtjänster. Ej för användning av tredjepartsapplikationer.

  • Behörighet: android.permission.DUMP
  • Används av PureVPN

Resultaten

I den sista tabellen listar vi upp alla VPN som vi testade och deras behörigheter totalt, anpassade behörigheter och misstänkta behörigheter.

Tabell 3. VPN-appar rangordnade efter begärda behörigheter

VPN-namn .apk-filnamn Misstänkta behörigheter Totalt tillstånd Anpassade behörigheter
Yoga VPN com.yogavpn 6 13 2
ProXPN com.proxpn.proxpn 5 16 5
Streck VPN com.actmobile.dashvpn 5 14 2
Seed 4 Me me.seed4.app.android 4 17 4
oVPNSpider com.ovpnspider 4 8 0
SwitchVPN com.switchvpn.ovpn 4 12 3
Hej org.hola 4 15 1
Zoog VPN com.zoogvpn.android 4 13 2
Gratis VPN org org.freevpn 3 12 2
VPN One Click com.vpnoneclick.android 3 7 0
Goose VPN com.goosevpn.gooseandroid 3 11 3
TouchVPN com.northghost.touchvpn 3 14 3
SurfEasy com.surfeasy 3 14 3
Psiphon VPN com.psiphon3.subscription 3 11 0
Speedify com.speedify.speedifyandroid 3 12 1
TigerVPN com.tigeratwork.tigervpn 3 9 1
Hotspot Shield VPN hotspotshield.android.vpn 3 16 3
ibVPN com.ibvpn.client 3 8 0
Betternet com.freevpnintouch 2 16 4
OneVPN com.dave.onevpnfresh 2 9 2
Windscribe com.windscribe.vpn 2 14 2
X-VPN com.security.xvpn.z35kb 2 13 2
Star VPN com.peach.vpn 2 10 2
HideMyAss com.hidemyass.hidemyassprovpn 2 19 6
Genomsnittlig VPN com.avg.android.vpn 2 19 6
SpyOFF com.spyoff.client.android 2 5 0
PureVPN com.gaditek.purevpnics 2 21 6
Trust Zone zone.trust.vpn 2 5 0
Mcafee Safe Connect com.mcafee.safeconnect.android 2 10 2
Kaspersky VPN com.kaspersky.secure.connection 2 17 4
SurfShark com.surfshark.vpnclient.android 2 14 4
VPN Secure com.vpnsecure.pty.ltd 2 9 1
Ivacy com.ivacy 1 11 2
Avira Phantom VPN com.avira.vpn.AviraVPNApplication 1 13 1
Norton Secure VPN com.symantec.securewifi 1 13 3
Thunder VPN com.fast.free.unblock.thunder.vpn 1 9 3
AppVPN appvpn.vpn 1 8 2
Avast VPN com.avast.android.vpn 1 19 7
VPN In Touch com.vpnintouch.android 1 9 2
iVPN net.ivpn.client 1 6 0
VPN Obegränsat com.simplexsolutionsinc.vpn_unlimited 1 17 4
OpenVPN de.blinkt.openvpn 1 5 0
Dölj min IP com.hidemyip.hideme 1 10 1
PrivateVPN com.pvpn.privatevpn 1 7 0
VPN-område com.vpnarea 1 5 0
AirVPN org.airvpn.eddie 1 4 0
Anonym VPN com.aprovpn.openvpn 1 4 0
NordVPN com.nordvpn.android 1 14 4
Privat internetuppkoppling com.privateinternetaccess.android 1 5 0
VPN ac ac.vpn.androidapp 1 5 1
StrongVPN com.strongvpn 0 5 0
Hoxx VPN com.hoxxvpn.main 0 3 0
TurboVPN free.vpn.unblock.proxy.turbovpn 0 7 2
VPN Master free.vpn.unblock.proxy.vpn.master.pro 0 7 2
Koppla bort mig com.disconnect.samsungcontentblocker 0 3 1
Hexatech tech.hexa 0 12 4
Cyberghost de.mobileconcepts.cyberghost 0 11 4
AstrillVPN com.astrill.astrillvpn 0 2 0
Torguard net.torguard.openvpn.client 0 6 0
Ultra us.ultrasurf.mobile.ultrasurf 0 1 0
ProtonVPN com.protonvpn.android 0 5 0
VPN 360 co.infinitysoft.vpn360 0 6 2
F-Secure VPN com.fsecure.freedome.vpn.security.privacy.android 0 10 2
IPVanish com.ixolit.ipvanish 0 5 0
Browsec VPN com.browsec.vpn 0 8 2
Kaktus VPN cactusvpn.app 0 8 2
Privat tunnel net.openvpn.privatetunnel 0 6 0
Buffrat VPN com.buffered.vpn 0 4 0
LiquidVPN com.liquidvpn.liquidvpn 0 3 0
BlackVPN com.blackvpn 0 7 2
Hotspot VPN com.hotspotvpn.android 0 5 0
DotVPN com.dotvpn.vpn 0 5 0
ZenMate com.zenmate.android 0 12 4
Kryptera mig com.stackpath.cloak 0 10 3
ExpressVPN com.expressvpn.vpn 0 10 2
SaferVPN com.safervpn.android 0 8 2
FastestVPN com.vpn.fastestvpnservice 0 6 2
VPNHub com.appatomic.vpnhub 0 9 3
VPN-tunnel com.oneonone.vpntunnel.android 0 8 2
VyprVPN com.goldenfrog.vyprvpn.app 0 8 2

Länk till kalkylbladet med alla behörigheter som VPN: er har ställt.

I teorin bör VPN-appar bara behöva några få behörigheter för att fungera. INTERNET och ACCESS_NETWORK_STATE bör vanligtvis räcka.

I genomsnitt ställs emellertid 11 behörigheter per VPN-app.

Android ger ett brett utbud av möjliga tillstånd för applikationer att dra nytta av. Men det finns också möjligheter för appar att också definiera sina egna behörigheter. I många fall är dessa behörigheter godartade, som att låta en app prata med tillverkarens molnsystem (ett vanligt begärt för dessa appar).

Högre upp i tabellen finns VPN-appar som har de farligaste behörigheterna som kan påverka användarens integritet. Speciellt Yoga VPN, ProxPN och TigerVPN

Men användningen av ett stort antal farliga behörigheter kan vara orsak till misstank.

När du väljer och installerar en VPN-app på Android är det viktigt att uppmärksamma behörigheterna. Läs beskrivningen och tänk på om appen verkligen behöver förmågan att spela in dig för att tillhandahålla en VPN-tjänst. Några av apparna från de största företagen visade sig vara de mest misstänkta i den här studien, så du kan inte bara lita på de stora namnen.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me