Propriétaires d’Android, faites attention à ces 7 applications VPN louches

UN réseau privé virtuel fiable et bien testé app protégera votre navigation mobile des regards indiscrets – sans avaler vos données ni contrôler totalement votre système d’exploitation. Donc, avant de faire confiance à cette application VPN hautement cotée avec un million d’installations sur le Google Play Store, sachez simplement qu’il existe de nombreux VPN Android louches qui obtiennent plus d’autorisations qu’ils n’en ont réellement besoin et mettent votre vie privée en danger.

Toutes les recherches se résume au nombre d’autorisations “normales” et d’autorisations “dangereuses” de chaque application. Les autorisations “normales” sont généralement accordées par Android – elles permettent aux applications de rester éveillées pendant l’utilisation ou de se connecter lorsque vous le leur dites.

Les autorisations “dangereuses” peuvent compromettre la confidentialité. Certains sont inoffensifs ou requis par Android. Comme lorsqu’une application demande des données de localisation générales pour vérifier si un réseau Wi-Fi public est fiable. Mais parfois, les autorisations “dangereuses” incluent des demandes inutiles, comme lorsqu’une application veut pouvoir modifier les paramètres de votre système, lire votre liste d’appels téléphoniques ou localiser votre emplacement exact. Pas cool.

Lire la suite: Meilleur VPN Android pour 2022

Comme initialement souligné par notre site sœur ZDNet, un certain nombre de les applications VPN Android populaires ont obtenu plus d’autorisations qu’elles n’en ont besoin. Voici ceux à surveiller.

VPN Yoga: 6 autorisations dangereuses

Le yoga est en tête de liste avec six demandes d’autorisations dangereuses, y compris la lecture de l’état de votre téléphone. Il veut connaître votre numéro de téléphone, sur quel réseau cellulaire vous êtes et si vous êtes en communication. Pourquoi ont-ils besoin de ces données ?

C’est difficile à dire, étant donné les 373 mots de Yoga politique de confidentialité inclut d’une manière ou d’une autre les affirmations “nous ne collectons pas vos informations personnelles” et “nous pouvons collecter vos informations lorsque vous communiquez avec nous”.

Vous devriez déjà éviter les VPN gratuits, peu importe où vous les trouvez. Cela est vrai pour le Yoga, qui s’est retrouvé dans L’analyse de Top10VPN d’applications gratuites avec trop peu de protections de la vie privée. Mais pour que le Yoga se trouve vraiment, il faudrait qu’il sache où se trouve son siège. Nous aiderions, mais nous n’avons pas pu le savoir non plus puisqu’il n’a pas encore répondu à notre demande de commentaire.

Lire la suite: NordVPN vs ExpressVPN : vitesse, sécurité et prix comparés

VPN proXPN: 5 permissions dangereuses

Oui, ce VPN offre un transfert de données et un temps de connexion illimités. Et oui, il a une politique de zéro journal (au moins après deux semaines, lorsque les journaux sont censés être incendiés).

Mais proXPN est basé aux États-Unis. Cela seul est un facteur décisif. Tout VPN basé aux États-Unis, au Royaume-Uni, au Canada, en Australie et en Nouvelle-Zélande – le soi-disant “Cinq Yeux” communauté du renseignement – devrait généralement être évitée si vous cherchez à maximiser votre vie privée. Five Eyes appelle ouvertement à ce que la plupart des gens considèrent comme la fin de la vie privée en ligne via l’installation d’un accès par porte dérobée du gouvernement dans la technologie de communication privée.

Nous avons contacté proXPN pour lui poser quelques questions sur le nombre d’autorisations demandées par son application. Mais la première question était de savoir si l’entreprise fonctionnait toujours.

L’application n’a pas été mise à jour sur Google Play depuis 2017, les deux identifiants Twitter de l’entreprise sont morts depuis 2018, de nombreux certificats de sécurité de son site ont expiré depuis mars, un nombre croissant d’avis d’utilisateurs se plaignent de ne pas pouvoir se connecter, et des deux numéros de téléphone publics répertoriés, l’un n’est plus en service et l’autre n’accepte plus de messages.

Ian Kline, qui dirige le service client et le support technique de proXPN, a répondu et a déclaré que la société assistait toujours les clients via Facebook et par e-mail.

“En ce qui concerne l’application proXPN, il n’y a pas eu de mises à jour sur l’application côté client puisque nous travaillons déjà sur nos serveurs. Nous prévoyons de mettre à jour l’application officielle prochainement”, a-t-il déclaré dans un e-mail.

J’ai interrogé Kline sur les autorisations risquées de proXPN, et il a dit :

“Ces autorisations sont nécessaires pour que l’interface utilisateur mette à jour l’emplacement uniquement sur la carte affichée ainsi que lors du verrouillage du téléphone et lors de la mise à jour des emplacements du serveur”, a déclaré Kline dans l’e-mail. “Si vous ne préférez pas utiliser l’application officielle, vous pouvez utiliser le client OpenVPN officiel disponible dans l’App Store ou le client IPsec officiel de Strongswan si vous préférez utiliser le VPN IPsec/IKEv2.”

Quoi qu’il en soit, il n’y a aucune raison de laisser proXPN (ou tout autre VPN) accéder à vos appels téléphoniques, suivre chacun de vos pas et écrire sur votre carte SD lorsque son nombre limité de serveurs ne peut même pas vous permettre de diffuser Netflix.

Lire la suite: Dossier spécial : Une stratégie gagnante pour la cybersécurité (PDF gratuit) (TechRepublic)

Si l’histoire notoire de Hola en tant que botnet mercenaire emprunteur de bande passante n’était pas suffisante pour vous inciter à aborder ce VPN avec prudence, alors décidez simplement si vous êtes d’accord pour lui donner les données d’état de votre téléphone (la même chose que proXPN et Yoga demandent) et ayant que les données soient totalement non cryptées.

À l’époque où le scandale des botnets a éclaté, le PDG de Hola, Ofer Vilenski, a admis qu’il s’agissait d’un “spammeur”, mais a soutenu que cette récolte de bande passante était typique de ce type de service.

“Nous avons supposé qu’en déclarant que Hola est un [peer-to-peer] réseau, il était clair que les gens partageaient leur bande passante avec le réseau communautaire en échange de leur service gratuit », écrivait-il à l’époque sur le blog de l’entreprise.

Mais les chercheurs de Trend Micro a offert un avertissement aux utilisateurs potentiels de Hola à la fin de l’année dernière, déclarant que “Hola VPN n’est pas une solution VPN sécurisée – c’est plutôt un service de proxy Web non crypté”.

oVPNSpider: 4 autorisations dangereuses

oVPNSpider a-t-il besoin d’accéder à vos journaux d’appels pour fonctionner comme un VPN ? A-t-il besoin d’avoir votre emplacement précis, de mettre des éléments sur votre carte SD, de pouvoir modifier les paramètres de votre système ? Absolument pas.

En ce qui concerne la note de 4,5 étoiles d’oVPNSpider sur l’App Store et la note de 4 étoiles sur Google Play ? Je ne suis pas convaincu. Résumé de l’indice de risque de Top10VPN détecté des fuites DNS, un type de faille de sécurité critique dans les VPN bon marché qui expose votre trafic de navigation à votre fournisseur de services Internet. Il a également déclaré que oVPNSpider avait été testé positif pour les logiciels malveillants et les logiciels publicitaires.

Nous n’avons pas reçu de réponse immédiate d’oVPNSpider lorsque nous avons demandé des commentaires.

Le trio final : 4 permissions dangereuses

SwitchVPN, ZoogVPN et VPN Seed4.Me demandent tous les mêmes choses : ils veulent des données de localisation spécifiques à votre sujet, et ils veulent lire et écrire des données sur votre carte SD. Tout inutile.

Nous devons remercier Seed4.Me VPN. Au moins ça répondu aux chercheurs sur la confidentialitéa décrit son utilisation des fonctionnalités d’assistance client et a expliqué aux utilisateurs comment désactiver les autorisations (en notant que les autorisations sont désactivées par défaut).

Mais SwitchVPN et ZoogVPN ? ZoogVPN a reçu de nombreux éloges en ligne, mais avant que je puisse l’approuver, il doit faire quelques choses : mettre un kill switch à la disposition des utilisateurs d’Android, nous dire combien de temps il conserve les journaux d’utilisation et ne pas être situé dans un pays avec l’UE lois sur la conservation des données qui préservent des trésors de métadonnées de type NSA dans un marécage de surveillance de masse. Jusque-là, nous pouvons encore faire mieux.

Les demandes d’autorisations de localisation, nous a dit SwitchVPN, devaient identifier le serveur le plus proche de l’utilisateur. Mais alors qu’un serveur plus proche est souhaitable pour la vitesse de connexion, cela peut généralement être accompli en utilisant des emplacements plus approximatifs plutôt qu’en identifiant l’adresse exacte des utilisateurs. SwitchVPN a déclaré que les utilisateurs peuvent refuser l’autorisation et que l’application “n’envoie aucune donnée personnelle ou de localisation à SwitchVPN”.

“L’application nécessite un accès au stockage pour pouvoir télécharger le fichier de configuration OpenVPN et s’y connecter. Comme nous utilisons OpenVPN, il faut charger le fichier de configuration pour se connecter”, a déclaré SwitchVPN dans un e-mail. “Je pense donc qu’il n’est pas juste de mentionner comme si nous collectons ces données et les stockons avec nous. Comme nous ne le faisons pas.”

SwitchVPN a un kill switch mais il est toujours basé aux États-Unis, donc je vais passer.

ZoogVPN nous a également répondu.

“Notre application ne nécessite aucune autorisation qui ne relève pas de la fourniture de services VPN”, a écrit un porte-parole. “Il n’y a rien de plus que ce dont une application VPN a besoin pour fonctionner sur un appareil Android.”

Vous pouvez consulter les demandes d’autorisations de l’application en visitant la page officielle du Google Play Store et en cliquant sur “Afficher les détails” en bas de la page sous “Autorisations”.

Pour un regard neuf sur l’enquête et la recherche de Top10VPN sur les applications avec des autorisations risquées, visitez la mise à jour d’août du site.

A qui faire confiance ?

Heureux que vous ayez demandé. Nos services VPN mobiles préférés sont dans une course serrée les uns contre les autres, mais jusqu’à présent NordVPN a la tête. Sa politique stricte de non-journalisation, son kill switch et sa sélection de 3 500 serveurs dans plus de 61 pays le rendent difficile à battre.

TorGuardComment donne vraiment à NordVPN une course pour son argent, cependant. Il accepte les paiements via bitcoin et propose un email anonyme. Il réduit également l’écart avec NordVPN en termes de nombre de serveurs, ayant récemment doublé ses offres à plus de 3 000.


Lecture en cours:
Regarde ça:

VPN expliqué : Une introduction à la confidentialité – avec des robots et des courses…


1:39