Vào tháng 4, một cuộc điều tra đã phát hiện ra một số VPN có khả năng gây nguy hiểm được liệt kê trên Apple App Store và Google Play Store.
Phát hiện này không liên quan đến bất kỳ VPN tốt nhất nào – những nhà cung cấp này có uy tín và an toàn – nhưng hơn 20 VPN được phát hiện có liên kết đến quân đội Trung Quốc và gây rủi ro cho bất kỳ ai tải xuống chúng.
Dự án minh bạch công nghệ (TPP) đứng sau cuộc điều tra, với Financial Times cũng đóng góp vào báo cáo.
Hai tháng sau, TPP đã phát hiện ra rằng nhiều ứng dụng VPN nguy hiểm này vẫn còn trên các cửa hàng ứng dụng – và Apple và Google thậm chí có thể đang hưởng lợi từ những ứng dụng này, những ứng dụng gây nguy hiểm cho dữ liệu của người Mỹ và an ninh quốc gia.
Công ty Qihoo 360 đã được tiết lộ là chủ sở hữu của ít nhất năm ứng dụng. Qihoo 360 trước đây đã được tuyên bố là "Công ty quân sự Trung Quốc" và đã bị Hoa Kỳ trừng phạt vào năm 2020.
Turbo VPN, VPN Proxy Master, Thunder VPN, Snap VPN và Signal Secure VPN là ít nhất năm VPN được kết nối với Qihoo 360.
Qihoo 360 không được liệt kê là nhà phát triển ứng dụng, nhưng cuộc điều tra trước đó của TPP đã truy tìm quyền sở hữu ứng dụng trở lại công ty.
TPP báo cáo rằng Thunder VPN và Snap VPN đã bị xóa khỏi Apple App Store của Hoa Kỳ, nhưng Tom's Guide thấy Thunder VPN được liệt kê.
Trong bản cập nhật mới của mình, TPP báo cáo rằng Thunder VPN hiện đã bị xóa, cùng với Signal Secure VPN.
Tuy nhiên, tại thời điểm viết bài, Tom's Guide phát hiện ra rằng Thunder VPN vẫn có mặt trên cả Apple App Store của Anh và Hoa Kỳ, cùng với Turbo VPN và VPN Proxy Master.
TPP báo cáo rằng 11 VPN khác có liên kết với Trung Quốc cũng vẫn có trên Apple App Store.
Các VPN này là: X-VPN, Ostrich VPN, VPNIFY, VPN Proxy OvpnSpider, WireVPN, Now VPN, Speedy Quark VPN, Best VPN Proxy AppVPN, HulaVPN, Wirevpn và Pearl VPN.
TPP báo cáo rằng Turbo VPN, VPN Proxy Master, Snap VPN và Signal Secure VPN đều có trên Google Play Store của Hoa Kỳ, cũng như bảy VPN khác có liên kết với Trung Quốc.
Các VPN này là: X-VPN, Speedy Quark VPN, vpnify, Ostrich VPN, VPN Proxy OvpnSpider, HulaVPN và VPN Proxy AppVPN.
Tom's Guide cũng xác nhận rằng tại thời điểm viết Turbo VPN, Thunder VPN, VPN Proxy Master, Signal Secure VPN đều có mặt trên Cửa hàng Google Play của Hoa Kỳ. Nhưng nó cũng xác nhận rằng Snap VPN có mặt, trái ngược với những gì TPP tìm thấy.
Dữ liệu có thể bao gồm địa chỉ IP, hoạt động duyệt web, mã định danh thiết bị và vị trí. Việc chia sẻ dữ liệu này với chính phủ Trung Quốc có thể gây ra rủi ro nghiêm trọng cho người Mỹ và trong trường hợp xấu nhất, là rủi ro an ninh quốc gia của Hoa Kỳ.
Hiện tại không có bằng chứng nào cho thấy mối đe dọa nghiêm trọng, nhưng vẫn chưa rõ có bao nhiêu dữ liệu của Hoa Kỳ đã bị truy cập. Việc thu thập dữ liệu có thể diễn ra và có khả năng bị khai thác là một nguyên nhân gây lo ngại.
Không chỉ các VPN do Trung Quốc sở hữu mới là mối đe dọa. Có rất nhiều VPN nguy hiểm và giả mạo ngoài kia - do các quốc gia trên khắp thế giới sở hữu và vận hành.
Các gã khổng lồ công nghệ lớn có trụ sở tại Hoa Kỳ, chẳng hạn như Apple và Google, cũng có thông tin xác thực về quyền riêng tư kém như vậy. Họ thu thập dữ liệu từ hàng triệu người Mỹ và rất vui khi chuyển dữ liệu này cho chính phủ.
Người dùng có thể đăng ký và điều này có nghĩa là Apple và Google có thể lấy một phần từ bất kỳ giao dịch mua trong ứng dụng nào được thực hiện.
Apple tuyên bố rằng họ lấy 30% hoa hồng từ các giao dịch mua trong ứng dụng (15% cho những người đã đăng ký chương trình doanh nghiệp nhỏ của họ). Google tính phí 15% cho doanh số lên đến 1 triệu đô la và 30% cho bất kỳ doanh số nào trên mức đó.
Nguyên tắc đánh giá ứng dụng nêu rằng "các ứng dụng cung cấp dịch vụ VPN không được bán, sử dụng hoặc tiết lộ cho bên thứ ba bất kỳ dữ liệu nào cho bất kỳ mục đích nào và phải cam kết thực hiện điều này trong chính sách bảo mật của họ."
Google Play cũng có chính sách ứng dụng VPN nêu rõ dịch vụ VPN không được sử dụng để "thu thập dữ liệu cá nhân và nhạy cảm của người dùng mà không có sự đồng ý và tiết lộ rõ ràng."
Tom's Guide đã liên hệ với cả Apple và Google để xin bình luận.
Người phát ngôn của Google cho biết: "Google cam kết tuân thủ các lệnh trừng phạt hiện hành và luật tuân thủ thương mại."
"Khi chúng tôi phát hiện ra các tài khoản có thể vi phạm các luật này, các chính sách liên quan hoặc Điều khoản dịch vụ của chúng tôi, chúng tôi sẽ thực hiện hành động thích hợp."
"Google Play cam kết bảo vệ quyền riêng tư của người dùng và cung cấp một môi trường an toàn và bảo mật cho người dùng của chúng tôi."
"Các ứng dụng lừa đảo, độc hại hoặc có mục đích lạm dụng hoặc sử dụng sai bất kỳ mạng, thiết bị hoặc dữ liệu cá nhân nào đều bị nghiêm cấm."
Apple cho biết họ không giới hạn quyền sở hữu ứng dụng và có các hướng dẫn nghiêm ngặt đối với các nhà phát triển ứng dụng VPN. Họ cho biết các ứng dụng VPN phải nêu rõ dữ liệu người dùng nào được thu thập, nếu có, và cách sử dụng dữ liệu đó.
Không được tiết lộ dữ liệu cho bên thứ ba và các nhà phát triển phải cam kết điều này trong chính sách bảo mật của họ.
Apple cho biết họ tuân thủ đầy đủ các quy định và luật pháp. Nếu phát hiện nhà phát triển vi phạm bất kỳ quy tắc nào, chúng tôi sẽ có hành động chống lại họ.
Mọi VPN mà chúng tôi đề xuất trên Tom's Guide đều có uy tín, an toàn và sẽ không gây rủi ro cho dữ liệu của bạn. Chúng tôi tìm kiếm và phân tích các chính sách không ghi nhật ký để đảm bảo họ không thu thập, lưu trữ và chia sẻ dữ liệu của bạn.
Các chính sách không ghi nhật ký đã được xác minh là điều bắt buộc đối với các VPN hàng đầu và an toàn nhất, và vụ kiện gần đây của Windscribe đã chỉ ra tầm quan trọng của chúng.
Bạn không nên luôn tin tưởng vào số lượt tải xuống hoặc đánh giá trên cửa hàng ứng dụng của một ứng dụng VPN và nhiều hướng dẫn của chúng tôi có thể giúp bạn đưa ra quyết định sáng suốt về VPN.
Không phải tất cả các VPN miễn phí đều nguy hiểm. Các VPN miễn phí tốt nhất sẽ bảo vệ dữ liệu của bạn với cùng mức mã hóa như các VPN trả phí và được bảo vệ bởi cùng chính sách không lưu nhật ký.
Chúng tôi cũng khuyên bạn nên dùng VPN trả phí thay vì VPN miễn phí. Nhưng nếu bạn chỉ có thể quản lý VPN miễn phí, các nhà cung cấp mà chúng tôi đề xuất sẽ bảo vệ bạn và hoạt động trực tuyến của bạn.
Phát hiện này không liên quan đến bất kỳ VPN tốt nhất nào – những nhà cung cấp này có uy tín và an toàn – nhưng hơn 20 VPN được phát hiện có liên kết đến quân đội Trung Quốc và gây rủi ro cho bất kỳ ai tải xuống chúng.
Dự án minh bạch công nghệ (TPP) đứng sau cuộc điều tra, với Financial Times cũng đóng góp vào báo cáo.
Hai tháng sau, TPP đã phát hiện ra rằng nhiều ứng dụng VPN nguy hiểm này vẫn còn trên các cửa hàng ứng dụng – và Apple và Google thậm chí có thể đang hưởng lợi từ những ứng dụng này, những ứng dụng gây nguy hiểm cho dữ liệu của người Mỹ và an ninh quốc gia.
Hơn 10 VPN vẫn được liệt kê
Chủ sở hữu thực sự của các VPN này đang cố tình gây nhầm lẫn. Các lớp công ty vỏ bọc nước ngoài che giấu chủ sở hữu thực sự và ẩn các liên kết Trung Quốc của họ.Công ty Qihoo 360 đã được tiết lộ là chủ sở hữu của ít nhất năm ứng dụng. Qihoo 360 trước đây đã được tuyên bố là "Công ty quân sự Trung Quốc" và đã bị Hoa Kỳ trừng phạt vào năm 2020.
Turbo VPN, VPN Proxy Master, Thunder VPN, Snap VPN và Signal Secure VPN là ít nhất năm VPN được kết nối với Qihoo 360.
Qihoo 360 không được liệt kê là nhà phát triển ứng dụng, nhưng cuộc điều tra trước đó của TPP đã truy tìm quyền sở hữu ứng dụng trở lại công ty.
TPP báo cáo rằng Thunder VPN và Snap VPN đã bị xóa khỏi Apple App Store của Hoa Kỳ, nhưng Tom's Guide thấy Thunder VPN được liệt kê.
Trong bản cập nhật mới của mình, TPP báo cáo rằng Thunder VPN hiện đã bị xóa, cùng với Signal Secure VPN.
Tuy nhiên, tại thời điểm viết bài, Tom's Guide phát hiện ra rằng Thunder VPN vẫn có mặt trên cả Apple App Store của Anh và Hoa Kỳ, cùng với Turbo VPN và VPN Proxy Master.
TPP báo cáo rằng 11 VPN khác có liên kết với Trung Quốc cũng vẫn có trên Apple App Store.
Các VPN này là: X-VPN, Ostrich VPN, VPNIFY, VPN Proxy OvpnSpider, WireVPN, Now VPN, Speedy Quark VPN, Best VPN Proxy AppVPN, HulaVPN, Wirevpn và Pearl VPN.
TPP báo cáo rằng Turbo VPN, VPN Proxy Master, Snap VPN và Signal Secure VPN đều có trên Google Play Store của Hoa Kỳ, cũng như bảy VPN khác có liên kết với Trung Quốc.
Các VPN này là: X-VPN, Speedy Quark VPN, vpnify, Ostrich VPN, VPN Proxy OvpnSpider, HulaVPN và VPN Proxy AppVPN.
Tom's Guide cũng xác nhận rằng tại thời điểm viết Turbo VPN, Thunder VPN, VPN Proxy Master, Signal Secure VPN đều có mặt trên Cửa hàng Google Play của Hoa Kỳ. Nhưng nó cũng xác nhận rằng Snap VPN có mặt, trái ngược với những gì TPP tìm thấy.
Tại sao các VPN này có khả năng nguy hiểm?
Luật dữ liệu của Trung Quốc có nghĩa là chính phủ có thể yêu cầu các công ty chia sẻ dữ liệu với họ. Việc không có chính sách không ghi nhật ký đã được xác minh dẫn đến việc một lượng lớn dữ liệu người dùng được các VPN này thu thập và lưu trữ.Dữ liệu có thể bao gồm địa chỉ IP, hoạt động duyệt web, mã định danh thiết bị và vị trí. Việc chia sẻ dữ liệu này với chính phủ Trung Quốc có thể gây ra rủi ro nghiêm trọng cho người Mỹ và trong trường hợp xấu nhất, là rủi ro an ninh quốc gia của Hoa Kỳ.
Hiện tại không có bằng chứng nào cho thấy mối đe dọa nghiêm trọng, nhưng vẫn chưa rõ có bao nhiêu dữ liệu của Hoa Kỳ đã bị truy cập. Việc thu thập dữ liệu có thể diễn ra và có khả năng bị khai thác là một nguyên nhân gây lo ngại.
Không chỉ các VPN do Trung Quốc sở hữu mới là mối đe dọa. Có rất nhiều VPN nguy hiểm và giả mạo ngoài kia - do các quốc gia trên khắp thế giới sở hữu và vận hành.
Các gã khổng lồ công nghệ lớn có trụ sở tại Hoa Kỳ, chẳng hạn như Apple và Google, cũng có thông tin xác thực về quyền riêng tư kém như vậy. Họ thu thập dữ liệu từ hàng triệu người Mỹ và rất vui khi chuyển dữ liệu này cho chính phủ.
Lợi nhuận cho Apple và Google?
Tất cả các VPN được thảo luận đều có thể tải xuống miễn phí, nhưng nhiều VPN cung cấp giao dịch mua trong ứng dụng và cung cấp tùy chọn nâng cấp lên gói cao cấp.Người dùng có thể đăng ký và điều này có nghĩa là Apple và Google có thể lấy một phần từ bất kỳ giao dịch mua trong ứng dụng nào được thực hiện.
Apple tuyên bố rằng họ lấy 30% hoa hồng từ các giao dịch mua trong ứng dụng (15% cho những người đã đăng ký chương trình doanh nghiệp nhỏ của họ). Google tính phí 15% cho doanh số lên đến 1 triệu đô la và 30% cho bất kỳ doanh số nào trên mức đó.
Nguyên tắc đánh giá ứng dụng nêu rằng "các ứng dụng cung cấp dịch vụ VPN không được bán, sử dụng hoặc tiết lộ cho bên thứ ba bất kỳ dữ liệu nào cho bất kỳ mục đích nào và phải cam kết thực hiện điều này trong chính sách bảo mật của họ."
Google Play cũng có chính sách ứng dụng VPN nêu rõ dịch vụ VPN không được sử dụng để "thu thập dữ liệu cá nhân và nhạy cảm của người dùng mà không có sự đồng ý và tiết lộ rõ ràng."
Tom's Guide đã liên hệ với cả Apple và Google để xin bình luận.
Người phát ngôn của Google cho biết: "Google cam kết tuân thủ các lệnh trừng phạt hiện hành và luật tuân thủ thương mại."
"Khi chúng tôi phát hiện ra các tài khoản có thể vi phạm các luật này, các chính sách liên quan hoặc Điều khoản dịch vụ của chúng tôi, chúng tôi sẽ thực hiện hành động thích hợp."
"Google Play cam kết bảo vệ quyền riêng tư của người dùng và cung cấp một môi trường an toàn và bảo mật cho người dùng của chúng tôi."
"Các ứng dụng lừa đảo, độc hại hoặc có mục đích lạm dụng hoặc sử dụng sai bất kỳ mạng, thiết bị hoặc dữ liệu cá nhân nào đều bị nghiêm cấm."
Apple cho biết họ không giới hạn quyền sở hữu ứng dụng và có các hướng dẫn nghiêm ngặt đối với các nhà phát triển ứng dụng VPN. Họ cho biết các ứng dụng VPN phải nêu rõ dữ liệu người dùng nào được thu thập, nếu có, và cách sử dụng dữ liệu đó.
Không được tiết lộ dữ liệu cho bên thứ ba và các nhà phát triển phải cam kết điều này trong chính sách bảo mật của họ.
Apple cho biết họ tuân thủ đầy đủ các quy định và luật pháp. Nếu phát hiện nhà phát triển vi phạm bất kỳ quy tắc nào, chúng tôi sẽ có hành động chống lại họ.
Các bước cần thực hiện
Hai tháng sau khi lần đầu nêu bật mối nguy hiểm của những ứng dụng này, chúng tôi có thể tiếp tục khuyên bạn tránh xa chúng. Mặc dù phổ biến, nhưng các VPN này không nên được tải xuống hoặc sử dụng.Mọi VPN mà chúng tôi đề xuất trên Tom's Guide đều có uy tín, an toàn và sẽ không gây rủi ro cho dữ liệu của bạn. Chúng tôi tìm kiếm và phân tích các chính sách không ghi nhật ký để đảm bảo họ không thu thập, lưu trữ và chia sẻ dữ liệu của bạn.
Các chính sách không ghi nhật ký đã được xác minh là điều bắt buộc đối với các VPN hàng đầu và an toàn nhất, và vụ kiện gần đây của Windscribe đã chỉ ra tầm quan trọng của chúng.
Bạn không nên luôn tin tưởng vào số lượt tải xuống hoặc đánh giá trên cửa hàng ứng dụng của một ứng dụng VPN và nhiều hướng dẫn của chúng tôi có thể giúp bạn đưa ra quyết định sáng suốt về VPN.
Không phải tất cả các VPN miễn phí đều nguy hiểm. Các VPN miễn phí tốt nhất sẽ bảo vệ dữ liệu của bạn với cùng mức mã hóa như các VPN trả phí và được bảo vệ bởi cùng chính sách không lưu nhật ký.
Chúng tôi cũng khuyên bạn nên dùng VPN trả phí thay vì VPN miễn phí. Nhưng nếu bạn chỉ có thể quản lý VPN miễn phí, các nhà cung cấp mà chúng tôi đề xuất sẽ bảo vệ bạn và hoạt động trực tuyến của bạn.