Hogyan kémkednek az orosz alkalmazások a VPN-felhasználók után
Egy új vizsgálat feltárta az orosz kormány összehangolt erőfeszítéseit, amelyek célja, hogy a népszerű fogyasztói alkalmazásokat megfigyelési eszközökké alakítsák át, célba véve azokat, akik VPN-t használnak az állami cenzúra megkerülésére. Az RKS Global jogvédő szervezet által közzétett megállapítások komoly kérdéseket vetnek fel nem csupán az oroszországi adatvédelemről, hanem arról is, hogy a felhasználók mennyire bízhatnak az eszközeiken telepített alkalmazásokban.
Az elemzett 30 népszerű orosz alkalmazás közül 22 aktívan észlelte a VPN-használatot, és ezt az adatot az orosz biztonsági szolgálatok számára hozzáférhető szervereken tárolta. Az alkalmazások banki platformokat és olyan nagy webszolgáltatásokat fednek le, amelyeket naponta több millió orosz állampolgár használ. Ezeknek a felhasználóknak pusztán az is elegendő lehet, hogy banki alkalmazásukat VPN-kapcsolat mellett nyitják meg, és máris egy olyan bejegyzés keletkezik, amely az állami hatóságok kezébe kerülhet.
Hogyan érzékelik az alkalmazások a VPN-használatot
Annak megállapítása, hogy egy felhasználó VPN-hez csatlakozik-e, technikailag nem bonyolult. Az alkalmazások több jelet is ellenőrizhetnek: azt, hogy az eszköz aktív hálózati interfésze megfelel-e az ismert VPN-protokolloknak, azt, hogy az IP-cím egy adatközponthoz kapcsolódik-e, nem pedig egy otthoni vagy mobilszolgáltatóhoz, illetve azt, hogy jelen vannak-e az alagútépítő szoftverekhez kapcsolódó rendszerszintű mutatók.
Az RKS Global megállapításait különösen jelentőssé teszi nem az, hogy az érzékelés lehetséges, hanem az, hogy ezek az alkalmazások állítólag olyan módon naplózzák és tárolják ezeket az adatokat, amely hozzáférhetővé teszi azokat külső felek számára. Ez egy rutinszerű technikai ellenőrzést – amilyet sok alkalmazás végez csalásmegelőzés vagy hálózatoptimalizálás céljából – a politikai megfigyelés eszközévé alakít át.
A tárolt adatok felhasználhatók arra, hogy profilt alkossanak azokról a felhasználókról, akik rendszeresen megkerülik Oroszország internetes korlátozásait, amelyeket belföldi szinten RuNet-kontrollként ismernek. A hatóságok egyre inkább bűnözői vagy felforgatói cselekedetként bélyegzik meg a VPN-használatot, és a dokumentált VPN-aktivitás olyan bizonyítékokat szolgáltathat, amelyek büntetőeljárást alapozhatnak meg.
A VPN-felhasználókra vonatkozó tágabb következmények
Az Oroszországon kívül élők számára a közvetlen fenyegetés távolinak tűnhet. A vizsgálat azonban rávilágít egy olyan adatvédelmi kockázatra, amely nem kizárólag egyetlen országra jellemző: azok az alkalmazások, amelyekre a mindennapi feladataiban bízik – bankegyenlegének ellenőrzése, hírfogyasztás, online vásárlás – hálózati tevékenységéről olyan adatokat gyűjthetnek, amelyekhez soha nem járult hozzá, és amelyekről esetleg nincs is tudomása.
Oroszország esetében ezek az adatok állítólag az állami biztonsági szolgálatokhoz kerülnek. Más körülmények között ugyanilyen adatokat el lehet adni hirdetőknek, jogi kényszer hatására meg lehet osztani a bűnüldöző szervekkel, vagy ki lehet tenni egy adatvédelmi incidens során. A mechanizmus ugyanaz; csak a célállomás és a szándék különbözik.
Ez egyben emlékeztető arra is, hogy a VPN megvédi a forgalmát az átvitel közbeni olvasástól, de nem akadályozza meg az eszközén futó alkalmazásokat abban, hogy megfigyelje a hálózati környezetet, és jelentse, amit talál. Az alkalmazásszintű megfigyelés a VPN által védett réteg alatt működik.
Mit jelent ez az Ön számára?
Ha Ön orosz állampolgár, és VPN-t használ a blokkolt tartalmak eléréséhez, az itt rejlő kockázat közvetlen és komoly. Ha VPN-kapcsolat mellett futtatja a nagy orosz bankok vagy platformok alkalmazásait, olyan bejegyzések keletkezhetnek, amelyek azonosítják Önt, mint a cenzúraellenőrzések megkerülőjét. A legbiztonságosabb megközelítés az, ha ezeket az alkalmazásokat potenciálisan az adatvédelmére nézve ellenségesnek tekinti, és VPN-kapcsolat mellett korlátozza használatukat, vagy egy különálló, ilyen alkalmazások nélküli eszközt használ az érzékeny böngészéshez.
Más országokban élő felhasználók számára a tanulság az alkalmazásengedélyekről és a bizalomról szól. A legtöbb okostelefon-felhasználó széles körű hozzáférést biztosít az alkalmazásoknak anélkül, hogy áttekintené, milyen adatokat gyűjtenek, és hová kerülnek azok. A hálózati állapottal kapcsolatos információk – beleértve azt, hogy aktív-e egy VPN – az alkalmazások számára általában különleges engedély nélkül is elérhetők, akár Androidon, akár iOS-en. Nem mindig tudja megakadályozni, hogy egy alkalmazás ellenőrizze a hálózati környezetét, de körültekintő lehet abban, hogy milyen alkalmazásokat telepít és milyen szolgáltatásokat vesz igénybe.
Érdemes időt szánni az alkalmazások adatvédelmi irányelveinek áttekintésére, különösen a harmadik felekkel való adatmegosztásra és a hatósági megkeresésekre vonatkozó részekre. Ha egy alkalmazásnak nincs egyértelmű adatvédelmi szabályzata, vagy ha az fenntartja a jogot az adatok széles körű megosztására partnerekkel vagy hatóságokkal, azt komolyan érdemes figyelembe venni.
Tájékozódás és cselekvés
Az RKS Global vizsgálata kézzelfogható példa arra, hogyan kapcsolódik össze a digitális jogok védelme és a személyes adatvédelem. Amikor a kormányok magáncégeket soroznak be megfigyelési programokba, az emberek által pénzügyeik és mindennapi életük kezelésére használt alkalmazások az állami megfigyelés potenciális csatornáivá válnak.
A gyakorlati tanulságok egyértelműek. Legyen válogatós abban, hogy milyen alkalmazásokat telepít és tart naprakészen, különösen az olyan vállalatoktól származókat, amelyek esetleg kormányzati nyomásnak lehetnek kitéve. Értse meg, hogy a VPN az adatvédelem egyik rétege, nem teljes pajzs. Figyeljen arra, hogy hol tárolják az alkalmazásadatait és ki férhet hozzájuk, mert ez a kérdés fontos attól függetlenül, hogy melyik országban él.
Ahogy az ilyen jellegű, államilag irányított alkalmazás-megfigyelés egyre jobban dokumentálttá válik, érdemes követni azoknak a digitális jogvédelmi szervezeteknek a munkáját, amelyek ezeket a gyakorlatokat vizsgálják és leplezik le. A tájékozott felhasználók jobban fel tudják védeni önmagukat.
