Depois do Whatsapp, Snapchat e Facebook, a
maioria das pessoas procura aplicativos VPN móveis. "VPN" é o segundo termo não comercial mais popular após o "jogo", e aplicativos exclusivamente gratuitos dominam os resultados da pesquisa. Os mais populares deles reuniram centenas de milhões de instalações em todo o mundo, no entanto, parece que as empresas por trás deles recebem pouca atenção e as lojas de aplicativos móveis estão estudando-as superficialmente.
Quando uma pessoa decide instalar uma VPN da empresa em seu dispositivo, ele decide confiar seus dados nessa empresa, em vez de no provedor de uma conexão com ou sem fio. O provedor de VPN pode examinar seu tráfego, alterá-lo, manter registros e, se as regras permitirem, enviá-lo para outro lugar. Dado o potencial de possível abuso de dados, é fundamental que o usuário escolha sua VPN com sabedoria.
Exploramos os aplicativos VPN mais populares na App Store e no Google Play Store. Descobrimos que apenas uma pequena fração desses aplicativos incrivelmente populares faz pelo menos algo para ganhar a confiança das pessoas que tentam proteger sua privacidade enquanto estão online.
Pesquisa
Examinamos os 20 aplicativos gratuitos mais populares que aparecem na lista de solicitações de VPN na App and Play Store para a Grã-Bretanha e os EUA. Em geral, eles são baixados 80 milhões de vezes por mês no Google e 4 milhões de vezes na Apple. Totalmente nossa metodologia e uma lista de todas as VPNs estudadas podem ser encontradas no
relatório detalhado .
Descobrimos algo contrário aos altos padrões pelos quais o usuário poderia esperar suporte em aplicativos distribuídos pelo Google e pela Apple em uma categoria tão sensível. A maioria dos aplicativos vem de empresas desconhecidas e altamente classificadas que estão trabalhando duro para ocultar informações sobre si mesmas dos usuários.
Esses aplicativos VPN foram baixados dezenas de milhões de vezes nas maiores lojas de aplicativos, mas fornecem pouco ao usuário informações sobre as empresas por trás deles e o que fazem com o enorme fluxo de tráfego sensível que passa diariamente por seus servidores.
Nosso estudo descobriu que mais da metade dos aplicativos VPN gratuitos mais populares são de propriedade dos chineses ou estão localizados diretamente na China, um país que suprime agressivamente seus serviços de VPN nos últimos anos e restringe a Internet com a mão de ferro. Além disso, descobrimos que a maioria desses aplicativos não possui proteção formalmente prescrita de informações pessoais e não oferece suporte ao usuário.
Afiliação de serviços e sua presença na web
59% dos aplicativos estudados são de propriedade chinesa ou estão localizados diretamente na China, apesar de as VPNs serem estritamente proibidas neste país e o tráfego da Internet ser monitorado. Isso levanta questões sobre por que essas empresas - com grandes bases de usuários em todo o mundo - podem continuar trabalhando.
As VPNs chinesas são baixadas por usuários dos EUA, Grã-Bretanha, América Latina, Oriente Médio e Canadá. Os proprietários de três deles, TurboVPN, ProxyMaster e SnapVPN, se mostraram empresas relacionadas. Em sua política de privacidade, eles observam: "Nossos negócios podem exigir a transferência de seus dados pessoais para países fora da zona do euro (EEA), incluindo países como a República Popular da China ou Cingapura."
Uma das propostas, VPN Patron, pertence à empresa IST Media, sediada em Hong Kong, que se anuncia na China como uma empresa envolvida em publicidade móvel e monetização do comportamento dos usuários da Internet.
Dado o esforço dessas empresas para ocultar informações sobre seus proprietários, muitas vezes é bastante difícil descobrir exatamente quem está por trás dos aplicativos, especialmente para o usuário médio.
64% desses provedores não têm um site especial ou presença na web, e mais da metade desses e-mails são contas pessoais em domínios como Gmail ou Yahoo. Mais de 80% de nossas solicitações de suporte ficaram sem resposta.
Apesar dessa opacidade, essas empresas conseguiram inspirar confiança entre usuários mal informados de que seus aplicativos foram aprovados pela administração das lojas da Apple e do Google.
Políticas de Privacidade, Rastreamento, Gravação de Ações do Usuário
Talvez a mera popularidade desses aplicativos possa ser suficiente para convencer a maioria dos usuários de sua confiabilidade, mas uma consideração cuidadosa deles revela sérios problemas.
Serviços de VPN conscientes, sejam eles gratuitos ou baseados em assinatura, geralmente possuem políticas de privacidade detalhadas que descrevem como eles funcionam e obrigam-nos a não monitorar os usuários e não registrar seu tráfego.
No entanto, muitos aplicativos VPN populares não têm nada parecido com essas políticas e muitos não têm nenhuma política. Isso enfatiza a existência de uma incerteza desagradável sobre o que está acontecendo com os enormes volumes de dados do usuário e nos preocupa que milhões de usuários em todo o mundo estejam dando às organizações desconhecidas e potencialmente hostis acesso ao seu tráfego.
Descobrimos que 86% desses aplicativos usam políticas de privacidade não padrão, onde o problema da privacidade do usuário é tratado com cuidado ou não é coberto. Alguns desses aplicativos obtêm acesso total ao tráfego de usuários da Internet, permitem rastrear e enviar seus dados a terceiros da China. Entre os dados coletados sobre o usuário, há uma lista de sites visitados, endereço IP (incluindo a localização do usuário), tempo, duração dos sites de navegação, identificadores de dispositivos, endereços de email e muito mais.
Entre os problemas comuns nas políticas de privacidade estão:
- Acompanhe as ações do usuário.
- Enviar informações sobre seu comportamento a terceiros.
- Falta de detalhes importantes sobre as políticas de rastreamento.
- Textos de política generalizada que não são específicos da VPN.
- Transferência de dados reivindicada a terceiros da China.
- Falta de política.
Mais da metade (55%) dos políticos parece trabalho amador - por exemplo, eles estão localizados em sites gratuitos do Wordpress com anúncios ou como arquivos de texto em páginas anônimas - o que nos deixa ainda mais preocupados com a legitimidade dessas empresas.
O que tudo isso significa?
Do ponto de vista do consumidor, todos os aplicativos da loja oficial são marcados pelos proprietários das lojas Apple ou Google como seguros e legais. No entanto, dada a amplitude de desinformação e opacidade associadas a essas listas, fica claro que a supervisão nessa categoria permanece mínima.
Usuários inocentes redirecionam seu tráfego de Internet móvel através de servidores pertencentes a empresas, a maioria dos quais não oferece proteção contra uso indevido de dados. Essa é uma negligência elementar por parte dos maiores gigantes da tecnologia, a falta de controle da parte deles, o que leva ao fato de milhões de consumidores serem submetidos à coleta de dados por atacado sob o pretexto de proteção on-line.
Além disso, as informações descobertas levantam questões como: por que a China permite que essas empresas trabalhem violando suas leis rígidas que proíbem o uso de VPNs e com quem as empresas compartilham esses dados após recebê-los.
Além das muitas perguntas que surgiram após a descoberta de uma influência chinesa tão forte nessa área, essas descobertas exigem que a Apple e o Google expliquem aos consumidores por que eles aprovam aplicativos de empresas sem presença na Web, oferecendo informações corporativas mínimas ou enganosas e com pouca e às vezes às custas das políticas de privacidade do usuário.
Ao permitir que essas empresas opacas e não profissionais hospedem aplicativos potencialmente perigosos em suas lojas, a Apple e o Google demonstram uma incapacidade de testar empresas usando suas plataformas e supervisionar os programas anunciados lá. Todas as
demonstrações do desejo de controles de privacidade não fazem sentido se houver pouca supervisão sobre essa categoria de aplicação potencialmente perigosa.