Kako ruske aplikacije špijuniraju korisnike VPN-a

Kako ruske aplikacije špijuniraju korisnike VPN-a

Nova istraga razotkrila je koordinirani napor ruske vlade da pretvori popularne korisničke aplikacije u alate za nadzor usmjerene na ljude koji koriste VPN za zaobilaženje državne cenzure. Nalazi koje je objavila zagovaračka skupina RKS Global postavljaju ozbiljna pitanja ne samo o privatnosti u Rusiji, već i o tome koliko povjerenja svaki korisnik treba imati u aplikacije instalirane na svom uređaju.

Od 30 analiziranih popularnih ruskih aplikacija, utvrđeno je da 22 aktivno otkrivaju korištenje VPN-a i pohranjuju te podatke na poslužiteljima dostupnim ruskim sigurnosnim službama. Aplikacije obuhvaćaju bankarske platforme i velike web usluge koje milijuni Rusa svakodnevno koriste. Za te korisnike, samo otvaranje bankarske aplikacije dok su spojeni na VPN moglo bi stvoriti zapis koji završi u rukama državnih vlasti.

Kako aplikacije otkrivaju korištenje VPN-a

Otkrivanje je li korisnik spojen na VPN tehnički nije kompleksno. Aplikacije mogu provjeriti nekoliko signala: odgovara li aktivno mrežno sučelje uređaja poznatim VPN protokolima, razrješava li se IP adresa na podatkovni centar umjesto na rezidencijskog ili mobilnog pružatelja usluge, ili su prisutni određeni pokazatelji na razini sustava povezani s programima za tuneliranje.

Ono što nalaze RKS Globala čini posebno značajnim nije to da je otkrivanje moguće, već to da ove aplikacije navodno bilježe i pohranjuju ove informacije na način koji ih čini dostupnima vanjskim stranama. Time se rutinska tehnička provjera — kakvu mnoge aplikacije provode radi sprječavanja prijevara ili optimizacije mreže — pretvara u instrument političkog nadzora.

Pohranjeni podaci mogu se zatim koristiti za izradu profila korisnika koji redovito zaobilaze ruska internetska ograničenja, poznata unutar zemlje kao RuNet kontrole. Vlasti su sve više sklone okvalificirati korištenje VPN-a kao kazneno ili subverzivno djelo, a dokumentirana aktivnost putem VPN-a pruža trag koji bi mogao poduprijeti kazneni progon.

Šire implikacije za korisnike VPN-a

Za ljude izvan Rusije, neposredna prijetnja može se činiti dalekom. No istraga ističe rizik za privatnost koji nije jedinstven za jednu određenu zemlju: aplikacije kojima vjerujete s obavljanjem svakodnevnih zadataka — provjera stanja na bankovnom računu, čitanje vijesti, kupovina na internetu — mogu prikupljati podatke o vašoj mrežnoj aktivnosti na načine na koje nikada niste pristali i kojih možda niste svjesni.

U ruskom slučaju, ti podaci navodno teku prema državnim sigurnosnim službama. U drugim kontekstima, ista vrsta podataka mogla bi se prodavati oglašivačima, dijeliti s tijelima kaznenog progona pod zakonskom prisilom ili biti izložena u slučaju sigurnosnog propusta. Mehanizam je isti; razlikuju se samo odredište i namjera.

Ovo je ujedno podsjetnik da VPN štiti vaš promet od čitanja u prijenosu, ali ne sprječava aplikaciju koja se izvodi na vašem uređaju da promatra vaše mrežno okruženje i prijavljuje što pronađe. Nadzor na razini aplikacije djeluje ispod sloja koji VPN osigurava.

Što to znači za vas

Ako ste ruski državljanin koji se oslanja na VPN za pristup blokiranom sadržaju, rizik je ovdje izravan i ozbiljan. Korištenje VPN-a uz pokrenute aplikacije velikih ruskih banaka ili platformi može stvoriti zapise koji vas identificiraju kao osobu koja izbjegava kontrole cenzure. Najsigurniji pristup je tretirati te aplikacije kao potencijalno neprijateljske prema vašoj privatnosti i ograničiti njihovo korištenje dok ste spojeni na VPN, ili koristiti zasebni uređaj bez takvih aplikacija za osjetljivo pretraživanje.

Za korisnike drugdje, pouka se tiče dozvola aplikacija i povjerenja. Većina korisnika pametnih telefona daje aplikacijama širok pristup bez pregleda podataka koje te aplikacije prikupljaju ili kamo ti podaci odlaze. Informacije o stanju mreže — uključujući je li VPN aktivan — često su dostupne aplikacijama bez ikakve posebne dozvole, bilo na Androidu ili iOS-u. Ne možete uvijek spriječiti aplikaciju da provjeri vaše mrežno okruženje, ali možete biti promišljeni u odabiru aplikacija koje instalirате i usluga na koje se oslanjate.

Vrijedi odvojiti vrijeme za pregled pravila o privatnosti aplikacija, posebno odlomaka o dijeljenju podataka s trećim stranama i zahtjevima vlasti. Ako aplikacija nema jasnu politiku, ili ako njezina politika zadržava pravo na široko dijeljenje s partnerima ili vlastima, to je signal koji treba ozbiljno shvatiti.

Ostanite informirani i poduzmite akciju

Istraga RKS Globala konkretan je primjer kako su digitalna prava i osobna privatnost međusobno povezani. Kada vlade unovačuju privatne tvrtke u programe nadzora, aplikacije koje ljudi koriste za upravljanje financijama i svakodnevnim životom postaju potencijalni vektori državnog praćenja.

Praktični zaključci su jasni. Budite selektivni u odabiru aplikacija koje instalirate i ažurirate, posebno onih od tvrtki koje mogu biti izložene državnom pritisku. Razumijte da je VPN jedan sloj zaštite privatnosti, a ne potpuna zaštita. I obratite pozornost na to gdje se pohranjuju podaci vaših aplikacija i tko im može pristupiti — jer to pitanje je važno bez obzira u kojoj zemlji živite.

Kako ovakav državno usmjeren nadzor aplikacija postaje sve bolje dokumentiran, vrijedi pratiti rad organizacija za digitalna prava koje istražuju i razotkrivaju ove prakse. Informirani korisnici bolje su pozicionirani za zaštitu samih sebe.