САН—ФРАНЦИСКО — В то время как Конгресс рассматривает беспрецедентный запрет чрезвычайно популярного китайского сервиса TikTok из-за предполагаемых соображений безопасности, миллионы американцев загружают на свои телефоны приложения китайского дизайна, которые создают большие риски для конфиденциальности, без каких-либо протестов со стороны законодателей или регулирующих органов.
Известные как мобильные виртуальные частные сети, или VPN, приложения создают виртуальный туннель через Интернет, который маскирует виртуальное и физическое местоположение пользователя, теоретически делая его анонимным для веб-сайтов, которые он посещает, поставщиков связи, которые их туда доставляют, а также рекламодателей и правительственных шпионов, пытающихся получить информацию по пути. путь.
Но эксперты уже много лет предупреждают, что все, что скрывают VPN, они могут увидеть сами. Это означает, что пользователи, которые стараются не раскрывать, кто и где они находятся, а также что они делают в Интернете, передают именно эту информацию VPN. Некоторые VPN имеют возможность видеть даже больше, включая зашифрованное содержимое электронной почты и банковскую информацию, поскольку они находятся в зоне повышенного доверия на устройствах пользователей.
Согласно корпоративным документам, рассмотренным The Washington Post, а также интервью и исследователям, некоторые из самых популярных VPN вводили потребителей в заблуждение относительно своей практики, скрывая свое происхождение, права собственности и местоположение, включая приложения, базирующиеся в Китае или контролируемые гражданами Китая.
“У вас есть кучка ленивых людей, называющих себя VPN, которые зарабатывают деньги на ваших данных, совсем как Google”, — сказал Деннис Батчелдер, чья компания AppEsteem оценивает безопасность приложений для антивирусных компаний. “У меня были бы оговорки в отношении VPN, базирующихся в любой стране, которые могут сообщить вашей компании, что они хотят получить ваши данные”.
Согласно китайскому законодательству, технологические компании могут быть вынуждены передать все, что у них есть, государственным органам, которые ценят внутреннюю и международную слежку — одна из главных причин, по которой критики Конгресса поднимают вопрос о TikTok.
Обеспокоенные потенциальным судебным преследованием женщин, добивающихся абортов через дрянные VPN, два демократа, сенатор Дж. Рон Уайден из штата Орегон и представитель Анна Г. Эшу из Калифорнии в прошлом году обратилась в Федеральную торговую комиссию с просьбой принять меры, “особенно в отношении тех, кто занимается вводящей в заблуждение рекламой и сбором данных”. Они написали председателю FTC, что отрасль “чрезвычайно непрозрачна, и многие провайдеры VPN эксплуатируют, вводят в заблуждение и извлекают выгоду из невольных потребителей”.
Но другие члены Конгресса, как правило, молчат о рисках, связанных с VPN, даже от китайских провайдеров, в то же время отстаивая ограничения и прямые запреты на TikTok, который имеет гораздо меньший доступ к тому, что пользователи делают онлайн.
Отчасти это может быть связано с тем, что TikTok является чрезвычайно заметной целью и единым брендом, в то время как десятки VPN заполняют магазины приложений и из года в год меняют имена, адреса и владельцев.
“Мы просто склонны не зацикливаться на вещах, пока они не станут значимыми”, — сказал бывший руководитель Google по связям с правительством Адам Ковачевич, ныне глава торговой группы Chamber of Progress, добавив, что борьба с TikTok может запустить более широкие дебаты китайо китайских технологиях.
Однако на VPN будет распространяться более широкий двухпартийный законопроект, представленный сенатором Дж. Марк Р. Уорнер (D-Va.) и Джон Тун (R-S.D.) и одобрен Белым домом, который потребует от Министерства торговли оценки иностранных технологий и рекомендации президенту о введении запретов. “Конгрессу необходимо отказаться от существующей стратегии борьбы с кротами с помощью технологий враждебных стран и создать более систематический процесс для изучения рисков национальной безопасности и принятия мер в соответствии с ними”, — заявил республиканец Тун в интервью The Post.
Уорнер сказал, что китайские VPN — это те приложения, которые требуют системного пересмотра, подобного предлагаемому в законопроекте, который позволил бы Министерству торговли проверять приложения по соображениям национальной безопасности.
Sen. Mark R. Warner (D-Va.) introduces the Restricting the Emergence of Security Threats That Risk Information and Communications Technology Act, or Restrict Act, during a March 7 news conference on Capitol Hill. (Jabin Botsford/The Washington Post)
“Именно поэтому Конгрессу необходимо принять Закон об ограничении”, — сказал Уорнер The Post. “Министр торговли должна иметь возможность пересматривать и вводить меры по смягчению последствий по мере необходимости, чтобы защитить американцев от этих приложений, но в настоящее время у нее нет возможности сделать это в соответствии с действующим законодательством”.
Конкурентами TikTok являются мощные американские компании с большими расходами, в том числе Facebook от Meta и YouTube от Google. Ни у одной крупной американской компании потребительские VPN не являются основным направлением бизнеса.
Напротив, Apple и Google получают прибыль от VPN-приложений, снижая цену продажи в своих магазинах приложений и продавая им рекламу.
Turbo VPN, например, является одним из первых результатов, которые появляются при поиске в Google Play app Store по запросу “VPN”. Он был загружен более 100 миллионов раз.
Материнская компания Turbo VPN, Innovative Connecting, имеет штаб-квартиру в Сингапуре и регистрацию на Каймановых островах. Согласно отчетам, за последние несколько лет директорами компании были несколько граждан Китая. Как и во многих приложениях, нет никакого способа доказать, кто или где настоящие владельцы.
Компьютерная версия Turbo VPN была среди нескольких сервисов, которые, как обнаружил AppEsteem в прошлом году, устанавливали корневые сертификаты, что позволяло им указывать компьютеру доверять любому приложению, которое он авторизовал. Он мог бы поручиться за поддельную электронную почту или чат-программу для извлечения контента из реальных, но нет никаких доказательств того, что он когда-либо это делал. Turbo не ответил на электронное письмо с просьбой прокомментировать.
Еще две из первых шести перечисленных Google VPN принадлежат организации под названием Signal Lab. Хотя многие могут связать это с приложением Signal для связи, защищающим конфиденциальность, связи нет.
У Signal Lab есть веб-сайт, на котором нет никаких указаний на то, какая компания за ним стоит. В нем указан адрес недалеко от Лос-Анджелеса, которым пользуются сотни организаций. Единственный способ связаться с Signal Lab — через адрес Gmail, где запрос Post остается без ответа в течение нескольких недель. Сотрудники рассказали давнему исследователю Саймону Мильяно, который пишет для Top10VPN.com , что он действительно действовал из Гонконга.
Политика конфиденциальности Signal Lab гласит, что ее VPN не ведут журналы активности пользователей. Но его условия предоставления услуг запрещают отправку любого сообщения, которое является “нежелательным”, — термин, который можно было бы применить к большей части Интернета. Он оставляет за собой право отслеживать активность для расследования “любого возможного нарушения” условий предоставления услуг. В совокупности это означает, что он может отслеживать активность любого пользователя на предмет чего-либо подозрительного для кого-либо.
В App Store от Apple возникают аналогичные проблемы. Из первых 10 результатов по запросу “VPN” в недавнем поиске один был основан в Гонконге, а еще три принадлежали бостонской Aura, которая теперь является материнской компанией VPN под названием Hotspot Shield.
Hotspot Shield подала жалобу в FTC в 2017 году от Центра демократии и технологий, в котором говорилось, что, хотя Hotspot заявляла в рекламе, что не ведет записей об истинных адресах пользователей по интернет-протоколу, она предоставляла эти адреса коммерческим партнерам.
Hotspot, которая, по утверждению центра, установила отслеживающие файлы cookie на компьютерах пользователей, заявила в своей политике конфиденциальности, что не считает IP-адреса или идентификаторы устройств личной информацией, хотя и то, и другое может быть привязано к конкретному пользователю. FTC не предпринимала никаких публичных действий против компании. Aura привлекла несколько раундов венчурного капитала и в этом месяце наняла актера Роберта Дауни-младшего в качестве питчера. Он не ответил на запрос об интервью.
Другой из 10 лучших результатов Apple, VPN — Super Unlimited Proxy, связан с компанией с китайской историей. В Apple records говорится, что они принадлежат сингапурской Mobile Jump, которая когда-то могла похвастаться штаб-квартирой в научно-техническом парке Дуншенг в Пекине.
Сингапурские записи показывают, что Mobile Jump принадлежит Free VPN, которая принадлежит VPN Super, имеющей тот же адрес в Редвуд-Сити, Калифорния, что и американская компания Super Unlimited. Адрес принадлежит юридической фирме, которая, по словам партнера, предлагает услуги отправки почты сотням компаний.
Президентом Super Unlimited является Танудж Чаттерджи, который раньше был топ-менеджером Aura, владельца Hotspot Shield. Шесть месяцев назад Чаттерджи опубликовал в LinkedIn сообщение о том, что, по его словам, одно из его приложений, VPN — Super Unlimited Proxy, стало лучшим бесплатным приложением в Apple Store, опередив TikTok и Instagram.
Чаттерджи подтвердил, что Super Unlimited владела крупными VPN, и сказал, что, когда она приобрела их, у них “в то время не было юридической связи с Китаем”.
Commuters look at their phones as they wait for a subway train in New York on June 10, 2021. (Ed Jones/AFP/Getty Images)
“Ни мы, ни какая-либо из наших дочерних компаний не имеем никакой связи с Китаем вообще; никакие акционеры, операции, код, серверы, данные или члены команды не находятся в Китае или не связаны с Китаем”, — сказал он по электронной почте.
Защитники прав потребителей говорят, что Apple и Google должны избегать более сомнительных VPN, особенно тех, которые нарушают политику крупных компаний в отношении сокрытия прав собственности или введения пользователей в заблуждение относительно конфиденциальности, или, по крайней мере, предоставлять предупреждения пользователям.
“Должно быть, магазины приложений хотят, чтобы люди приходили и не находили очень подозрительные вещи. Для этого должен быть рыночный стимул”, — сказала Мэллори Кнодел, технический директор Центра демократии и технологий. “Я немного сбит с толку, почему они не делают больше”.
Apple отказалась обсуждать какое-либо из приложений, упомянутых в этой статье. В заявлении, отправленном по электронной почте, говорилось, что “VPN-приложения — это мощные инструменты, которые можно использовать для отслеживания интернет-трафика пользователей, поэтому у нас есть строгие рекомендации относительно того, что должны делать разработчики VPN-приложений, чтобы быть в App Store ”.
Google также отказался обсуждать подробности. “В Google Play действуют правила обеспечения безопасности пользователей, которых должны придерживаться все разработчики, включая VPN-приложения”, — заявил пресс-секретарь Эд Фернандес. “Мы серьезно относимся к заявлениям о безопасности и конфиденциальности в отношении приложений, и если мы обнаружим, что приложение нарушило нашу политику, мы предпримем соответствующие действия”.
Обе компании утверждали, что их контроль над рынком приложений не следует ослаблять из-за антимонопольных соображений, что является еще одним предметом дебатов в Конгрессе, поскольку они защищают потребителей посредством процесса утверждения своих продуктов.
Но разработчики приложений, регулирующие органы и законодатели указали на недостатки в процессе проверки, из-за которых не были выявлены имитаторы и мошенники по нескольким категориям. Доказательства в антимонопольном иске Epic Games показали, что даже сотрудники Apple осудили слабость ее защиты, которую ведущий инженер описал как “использование пластикового ножа для масла в перестрелке”.
Вредоносные программы из Китая и правительственных подрядчиков США годами проникали в, казалось бы, безопасные приложения. В 2021 году The Post сообщила, что почти 2 процента крупнейших пользователей Apple Store, зарабатывающих деньги, были мошенниками.
Бизнес VPN больше, чем у большинства категорий приложений, причем платные версии часто приносят одни из самых высоких доходов среди приложений для повышения производительности.
“Позорно отсутствие должной осмотрительности, которую они проявляют в этой области”, — сказал Мильяно об Apple и Google. Он сказал, что впервые поднял этот вопрос в Apple в 2019 году.
По словам Мильяно и Кнодел, крупные магазины приложений играют решающую роль в работе с VPN из-за трудностей с получением объективной информации: многие обзорные сайты полностью или частично принадлежат VPN-провайдерам, включая Migliano.
Мильяно обнаружил более 200 миллионов установок VPN с китайскими связями, многие из которых были скрыты по мере того, как бренды становились все более популярными. Некоторые покидали китайские штаб-квартиры от одной итерации к другой, в то время как другие заменяли руководителей.
По словам экспертов, бесплатные VPN, скорее всего, будут противоречить лучшим практикам конфиденциальности, поскольку у них есть дополнительный финансовый стимул собирать информацию о пользователях для продажи релевантной рекламы.
Два года назад Consumer Reports провела глубокое исследование того, проводили ли популярные бренды проверки конфиденциальности, которые могли прочитать пользователи, сливали ли они свои IP-адреса или преувеличивали степень безопасности, которую они могли обеспечить.
Некоммерческий журнал также отметил, что некоторым VPN, которые утверждали, что не ведут журналов, удалось создать их, столкнувшись с юридическими документами, и это вызвало вопросы о некоторых владельцах и руководителях.
Среди тех, на кого он обратил внимание, был ExpressVPN, один из самых популярных для просмотра китайских веб-сайтов. Сейчас он принадлежит Kape Technologies, которая выросла из компании, известной распространением вредоносного программного обеспечения, и которая наняла в качестве руководителей как осужденного генерального директора рухнувшей криптобиржи Mt. Gox, так и Дэниела Герике, бывшего сотрудника американской разведки, который признался во взломе сетей США во время работы в Объединенных Арабских Эмиратах.