Популярные приложения с китайскими связями могут собирать больше данных, чем TikTok.

В то время как Конгресс взвешивает беспрецедентный запрет чрезвычайно популярного китайского TikTok из-за предполагаемых проблем с безопасностью, миллионы американцев загружают на свои телефоны разработанные китайцами приложения, которые представляют большую угрозу конфиденциальности, без протеста со стороны законодателей или регулирующих органов.

Известные как мобильные виртуальные частные сети или VPN, приложения создают виртуальный туннель через Интернет, который маскирует виртуальное и физическое местоположение пользователя, теоретически делая его анонимным для посещаемых веб-сайтов, поставщиков услуг связи, которые доставляют их туда, а также рекламодателей и правительственные шпионы пытаются высосать информацию по пути.

Но эксперты годами предупреждали, что все, что скрывают виртуальные частные сети, они могут увидеть сами. Это означает, что пользователи, которые стараются не раскрывать, кто и где они находятся, а также что они делают в сети, передают эту самую информацию VPN. Некоторые виртуальные частные сети могут видеть даже больше, в том числе зашифрованное содержимое электронной почты и банковскую информацию, поскольку они находятся в очень надежном месте на пользовательских устройствах.

Скачасть популярные и безопасные приложения на ваше устройство можно по ссылке.

Согласно корпоративным записям, проанализированным Android-Robot, а также интервью и исследованиям, некоторые из самых популярных VPN вводят потребителей в заблуждение относительно своей практики, скрывая свое происхождение, право собственности и местонахождение, в том числе приложения, базирующиеся в Китае или контролируемые гражданами Китая.

«У вас есть группа ленивых людей, называющих себя VPN, которые зарабатывают деньги на ваших данных, как и Google», — сказал Деннис Батчелдер, чья компания AppEsteem оценивает безопасность приложений для антивирусных компаний. «У меня были бы оговорки по поводу VPN, базирующихся в любой стране, которые могут сообщить вашей компании, что они хотят получить ваши данные».

Согласно китайскому законодательству, технологические компании могут быть принуждены передать все, что у них есть, государственным органам, которые ценят внутреннюю и международную слежку — один из главных поводов для беспокойства критиков Конгресса по поводу TikTok.

Обеспокоенные потенциальным преследованием женщин, пытающихся сделать аборт через некачественные виртуальные частные сети, два демократа, сенатор Рон Уайден из Орегона и член палаты представителей Анна Г. Эшу из Калифорнии, в прошлом году обратились в Федеральную торговую комиссию с просьбой принять меры, «особенно в отношении тех, кто занимается мошенническими действиями». практики рекламы и сбора данных». Они написали председателю FTC, что отрасль «чрезвычайно непрозрачна, и многие провайдеры VPN используют, вводят в заблуждение и используют невольных потребителей».

Но другие члены Конгресса обычно умалчивают о рисках, связанных с VPN, даже от китайских провайдеров, при этом выступая за ограничения и прямые запреты на TikTok, у которого гораздо меньше доступа к тому, что пользователи делают в Интернете.

Отчасти это может быть связано с тем, что TikTok является чрезвычайно заметной целью и единым брендом, в то время как десятки VPN толпятся в магазинах приложений и из года в год меняют имена, адреса и владельцев.

«Мы просто склонны не сосредотачиваться на вещах, пока они не станут большими», — сказал бывший руководитель Google по связям с правительством Адам Ковачевич, ныне глава торговой группы Chamber of Progress, добавив, что борьба с TikTok может вызвать более широкие дебаты о китайских технологиях.

Однако виртуальные частные сети будут подпадать под действие более широкого двухпартийного законопроекта , внесенного сенаторами Марком Р. Уорнером (демократ от штата Вирджиния) и Джоном Тьюном (RS.D.) и одобренным Белым домом, который потребует от Министерства торговли оценивать иностранные технологии и рекомендовать запреты президенту. «Конгрессу необходимо отказаться от существующей стратегии «убей крота» с помощью технологий враждебных стран и создать более систематический процесс для изучения рисков национальной безопасности и принятия мер по их устранению», — сказал The Post республиканец Тьюн.

Уорнер сказал, что китайские VPN — это приложения, которые требуют систематической проверки, подобной той, которая предлагается в законопроекте, что позволит Министерству торговли проверять приложения по соображениям национальной безопасности.

«Именно поэтому Конгрессу необходимо принять Закон об ограничениях», — сказал Уорнер The Post. «Министр торговли должен иметь возможность пересматривать и принимать меры по смягчению последствий, необходимые для защиты американцев от этих приложений, но в настоящее время у нее нет возможности сделать это в соответствии с действующим законодательством».

У TikTok есть мощные американские компании с большими расходами, в том числе Facebook от Meta и YouTube от Google. Ни у одной крупной американской компании потребительские VPN не являются основным направлением бизнеса.

Напротив, Apple и Google получают прибыль от VPN-приложений, беря процент от продажной цены в своих магазинах приложений и продавая им рекламу.

Turbo VPN, например, является одним из первых результатов, которые появляются при поиске в магазине приложений Google Play для «VPN». Его скачали более 100 миллионов раз.

Материнская компания Turbo VPN, Innovative Connecting, имеет штаб-квартиру в Сингапуре и регистрацию на Каймановых островах. Согласно документам, за последние несколько лет его директорами было несколько граждан Китая. Как и в случае со многими другими приложениями, невозможно доказать, кто и где являются настоящими владельцами.

Компьютерная версия Turbo VPN была среди нескольких служб, которые AppEsteem в прошлом году обнаружила для установки корневых сертификатов , что позволяло им сообщать компьютеру, что он доверяет любому авторизованному приложению. Он мог поручиться за поддельную электронную почту или программу чата для извлечения контента из настоящих, но нет никаких доказательств того, что он когда-либо делал это. Turbo не ответил на электронное письмо с просьбой прокомментировать.

Еще две из первых шести перечисленных Google VPN принадлежат компании Signal Lab. Хотя многие могут связать это с приложением Signal, защищающим конфиденциальность, для связи это не так.

У Signal Lab есть веб-сайт, на котором не указано, какая компания за ним стоит. В нем указан адрес недалеко от Лос-Анджелеса, который используется сотнями организаций. Единственный способ связаться с Signal Lab — через адрес Gmail, где запрос Post оставался без ответа в течение нескольких недель. Сотрудники рассказали давнему исследователю Саймону Мильяно, который пишет для Top10VPN.com, что на самом деле он работает из Гонконга.

Политика конфиденциальности Signal Lab гласит, что ее виртуальные частные сети не ведут журналы активности пользователей. Но его условия обслуживания запрещают отправлять любые сообщения, которые являются «нежелательными» — термин, который можно применить к большей части Интернета. Он оставляет за собой право отслеживать активность для расследования «любого возможного нарушения» условий обслуживания. В совокупности это означает, что он может отслеживать активность любого пользователя на предмет чего-либо, что может быть нежелательным для кого-либо.

Apple App Store представляет аналогичные проблемы. Из первых 10 результатов недавнего поиска по запросу «VPN» один был в Гонконге, а еще три принадлежали бостонской компании Aura, которая теперь является родителем VPN под названием Hotspot Shield.

В 2017 году Hotspot Shield подала жалобу в FTC от Центра демократии и технологий, в которой говорилось, что, хотя Hotspot утверждала в рекламе, что не ведет записи истинных адресов интернет-протокола пользователей, она предоставила эти адреса коммерческим партнерам.

Hotspot, который, по заявлению центра, установил отслеживающие файлы cookie на компьютерах пользователей, заявил в своей политике конфиденциальности, что не считает IP-адреса или идентификаторы устройств личной информацией, хотя и то, и другое может быть привязано к конкретному пользователю. FTC не предпринимала публичных действий против компании. Aura привлекла несколько раундов венчурного капитала и в этом месяце наняла актера Роберта Дауни-младшего в качестве рекламного агента. На запрос об интервью не ответили.

Еще один из 10 лучших результатов Apple, VPN — Super Unlimited Proxy, связан с компанией с китайской историей. Согласно записям Apple, они принадлежат сингапурской компании Mobile Jump, штаб-квартира которой когда-то располагалась в научно-технологическом парке Дуншэн в Пекине.

Сингапурские записи показывают, что Mobile Jump принадлежит Free VPN, которая принадлежит VPN Super, которая имеет тот же адрес в Редвуд-Сити, Калифорния, что и американская компания Super Unlimited. Адрес принадлежит юридической фирме, которая, по словам партнера, предлагает услуги доставки почты сотням компаний.

Президентом Super Unlimited является Танудж Чаттерджи, который раньше был топ-менеджером в Aura, владельце Hotspot Shield. Шесть месяцев назад Чаттерджи опубликовал в LinkedIn сообщение о том, что то, что он назвал одним из своих приложений, VPN — Super Unlimited Proxy, стало лучшим бесплатным приложением в магазине Apple, опередив TikTok.

Чаттерджи подтвердил, что Super Unlimited владеет крупными VPN, и сказал, что, когда она их приобрела, они «в то время не имели юридической связи с Китаем».

«Ни мы, ни какие-либо наши дочерние компании не имеем никакого отношения к Китаю; никакие акционеры, операции, код, серверы, данные или члены команды не находятся в Китае или не связаны с Китаем», — сказал он по электронной почте.

Защитники прав потребителей говорят, что Apple и Google должны не допускать более сомнительных VPN, особенно тех, которые нарушают политику крупных компаний в отношении сокрытия прав собственности или введения пользователей в заблуждение в отношении конфиденциальности или, по крайней мере, предупреждают пользователей.

«Должно быть, магазины приложений хотят, чтобы люди приходили и не находили ничего сверхподозрительного. Для этого должен быть рыночный стимул», — сказал Мэллори Кнодел, главный технический директор Центра демократии и технологий. «Я немного озадачен, почему они не делают больше».

Apple отказалась обсуждать какие-либо приложения, упомянутые в этой истории. В заявлении, отправленном по электронной почте, говорится, что «VPN-приложения — это мощные инструменты, которые можно использовать для отслеживания пользовательского интернет-трафика, поэтому у нас есть строгие правила в отношении того, что должны делать разработчики VPN-приложений, чтобы быть в App Store».

Google также отказался обсуждать подробности. «В Google Play действуют правила для обеспечения безопасности пользователей, которых должны придерживаться все разработчики, включая VPN-приложения», — сказал представитель Эд Фернандес. «Мы серьезно относимся к заявлениям о безопасности и конфиденциальности приложений, и если мы обнаруживаем, что приложение нарушает наши правила, мы принимаем соответствующие меры».

Обе компании утверждают, что их контроль над рынком приложений не должен ослабляться из-за антимонопольных соображений, еще одного предмета дебатов в Конгрессе, поскольку они защищают потребителей в процессе утверждения своих продуктов.

Но производители приложений, регулирующие органы и законодатели указали на недостатки в процессе проверки, которые не выявили имитаторов и мошенничества в нескольких категориях. Доказательства в антимонопольном иске Epic Games показали, что даже сотрудники Apple осуждали слабость ее защиты, которую ведущий инженер описал как «принесение пластикового ножа для масла в перестрелку».

Вредоносное ПО из Китая и государственных подрядчиков США годами проникало в, казалось бы, безопасные приложения . В 2021 году The Post сообщила , что почти 2 процента крупнейших заработков в магазине Apple были мошенниками.

Бизнес VPN больше, чем большинство категорий приложений, а платные версии часто являются одними из самых прибыльных среди приложений для повышения производительности.

«Позорно отсутствие должной осмотрительности в этой области», — сказал Мильяно об Apple и Google. Он сказал, что впервые поднял этот вопрос перед Apple в 2019 году.

По словам Мильяно и Кнодела, крупные магазины приложений играют решающую роль в VPN из-за трудностей с получением объективной информации: многие обзорные сайты полностью или частично принадлежат провайдерам VPN.

Мильяно обнаружил более 200 миллионов установок VPN с китайскими связями, многие из которых были скрыты по мере того, как бренды становились все более популярными. Некоторые покидали китайскую штаб-квартиру от одной итерации к другой, а другие заменяли руководителей.

По словам экспертов, бесплатные VPN, скорее всего, будут противоречить передовым методам обеспечения конфиденциальности, потому что у них есть дополнительный финансовый стимул для сбора информации о пользователях для продажи релевантной рекламы.

Два года назад Consumer Reports глубоко изучил вопрос о том, проводят ли популярные бренды аудиты конфиденциальности, которые могут прочитать пользователи, сливают ли они свои IP-адреса или преувеличивают безопасность, которую они могут обеспечить.

Некоммерческий журнал также отметил, что некоторые виртуальные частные сети, которые утверждали, что не ведут журналы, сумели создать их, когда столкнулись с юридическими документами, и это вызвало вопросы о некоторых владельцах и руководителях.

Среди них был ExpressVPN, один из самых популярных для просмотра китайских веб-сайтов. Теперь он принадлежит Kape Technologies, которая выросла из компании, известной распространением вредоносного программного обеспечения, и наняла в качестве руководителей как осужденного генерального директора обанкротившейся криптобиржи Mt.Gox, так и Дэниела Герике, бывшего сотрудника американской разведки, который признался во взломе сетей США во время работы. для Объединенных Арабских Эмиратов.