В Сеть выложена гигантская база данных бесплатного VPN с данными о пользователях, посещавших «сомнительные» сайты
В открытом доступе оказалась база данных объемом 626 ГБ на 5,7 млрд записей с детальной информацией о посещаемых пользователями сайтах. По версии исследователей из Cybernews, соответствующие логи ведет бесплатный VPN-сервис, разработанный малоизвестной австралийской фирмой, предположительно, в интересах властей Китая.Солидный улов
Исследователь из команды Cybernews обнаружили в Сети незащищенную базу данных ElasticSearch, содержащую информацию о пользователях бесплатного VPN-сервиса Airplane Accelerates.
База данных представляет собой коллекцию логов (журналов) активности пользователей в интернете, включая идентификатор, исходные (с которых осуществлялось подключение) и целевые IP-адреса, а также доменные имена посещенных сайтов и временные метки. Суммарно база содержит 5,7 млрд записей и «весит» около 626 ГБ.
Как отметил Арас Назаровас (Aras Nazarovas), исследователь, обнаруживший базу данных, утечка может быть использована заинтересованными лицами для деанонимизации и слежки за пользователями VPN-сервиса. Он также добавил, что изучение Android-приложения Airplane Accelerates показало наличие в нем возможностей по удаленному выполнению кода на мобильном устройстве и «шпионских» функций.
Специалист также заявил, что не уверен в правильности и надежности работы Android-версии Airplane Accelerates. «В зависимости от реализации, приложение [Airplane Accelerates] может шифровать только веб-трафик, но не трафик операционной системы или других приложений, – поясняет Назаровас. – Хоть антивирусы и не определяют это приложение как вредоносное, проведенный нами анализ позволяет говорить о некоторых тревожных признаках».
Как сообщил в декабре 2021 г. CNews, по мнению аналитиков компании Consumer Reports, современные VPN-сервисы регулярно вводят своих пользователей в заблуждение и не предоставляют им заявленных возможностей в полном объеме.
Аудитория сервиса – десятки или сотни тысяч человек
Исследователи считают, что аудитория сомнительного VPN-сервиса на всех платформах – Windows macOS, iOS, Android – может достигать десятков или даже сотен тысяч человек. К такому выводу они пришли, посчитав отзывы на соответствующую версию приложения для iOS в App Store – всего получилось около 3 тыс. только в китайском сегменте магазина.
Впрочем, желающих дать словесную оценку приложению в глобальном App Store оказалось существенно меньше, отмечают эксперты, не приводя при этом точного значения.
Цель – поиск неугодных режиму
Исследователи Cybernews провели «вскрытие» Android-версии приложения Airplane Accelerates и обнаружили «зашитый» внутрь список доменов, включающий адреса: иных поставщиков услуг VPN; сайтов с содержимом порнографического и антикитайского характера; веб-ресурсов, предлагающих открытые инструменты для обхода интернет-цензуры (к таковым, к примеру, можно отнести Tor; – прим. CNews); хранилищ хакерских инструментов; социальных сетей и поисковых систем. Эксперты не уточняют, для чего именно используются эти значения-константы, однако можно предположить, что именно факт посещения указанных типов интернет-ресурсов фиксируется в логах VPN-сервиса.
Важно, что в упомянутом перечне отсутствуют какие-либо китайские сайты. Из этого факта исследователи делают вывод о том, что целью приложения является – отслеживание действий людей, посещающих неугодных официальному Пекину веб-ресурсов.
Подозрительное поведение
Эксперты Cybernews отмечают, что Android-приложение Airplane Accelerates запрашивает подозрительно много разрешений при установке: от доступа к камере и микрофону, до прав на изменение контактов, доступа к внешнему хранилищу и установке пакетов.
По мнению Назароваса, это указывает на то, что приложение на самом деле собирает гораздо больше разнообразных данных, чем удалось обнаружить в 626-гигабайтной базе Elasticsearch. Просто хранится она на другом, пока не обнаруженном сервере.
Кто стоит за сервисом
Дальнейшее расследование Cybernews привело к владельцу и оператору бесплатного VPN-приложения. Им оказалась австралийская AP Network PTY Ltd.
Это мельбурнская компания, которая называет себя поставщиком облачных сервисов по модели IaaS (инфраструктура как сервис). Помимо этого, она оказывает услуги по проектированию сетевой инфраструктуры, веб-дизайну, цифровому маркетингу, занимается консалтингом. На страницах ее официального веб-сайта название Airplane Accelerates не фигурирует.
Специалисты Cybernews попытались связаться с AP Network, как только обнаружили базу логов в свободном доступе, однако по прошествии месяца так и не получили ответа от представителей компании.