Queste VPN possono condividere i dati degli utenti alla Cina. E sono disponibili sugli store di Apple e Google

Gli app store di Apple e Google mantengono ancora oggi un catalogo di app VPN che celano deliberatamente la loro proprietà cinese, rappresentando un rischio concreto per milioni di utenti dei paesi occidentali. Queste app promettono anonimato e protezione durante la navigazione, ma quando sono controllate da entità cinesi, possono trasformarsi in strumenti di sorveglianza pericolosi per la sicurezza nazionale di altri paesi.

La questione assume particolare gravità considerando che le aziende cinesi possono essere costrette dalle leggi sulla sicurezza nazionale del loro paese a condividere i dati degli utenti con il governo di Pechino. Le VPN hanno accesso a informazioni particolarmente sensibili, potendo monitorare l'intera attività web di una persona, inclusi siti visitati, comunicazioni e abitudini di navigazione.

VPN potenzialmente pericolose negli app store di Apple e Google

A sollevare il problema è, ancora una volta, Tech Transparency Project, che il 1° aprile aveva identificato più di 20 VPN di proprietà cinese tra le prime 100 app gratuite sulla versione americana di App Store. Da allora, Apple ha rimosso solo alcune applicazioni. Thunder VPN e Snap VPN, entrambe collegate alla società cinese Qihoo 360, sono state eliminate dopo le richieste di commento del Financial Times, mentre Signal Secure VPN è stata rimossa silenziosamente a maggio.

Tuttavia, la risposta delle piattaforme si è rivelata insufficiente. Turbo VPN e VPN Proxy Master, anch'esse collegate a Qihoo 360, rimangono disponibili nell'App Store di Apple insieme ad altre 11 app di proprietà cinese. La situazione è ancora più preoccupante nel Google Play Store, dove quattro app connesse a Qihoo 360 continuano a essere distribuite, accompagnate da altre diverse VPN cinesi.

Qihoo 360, in particolare, rappresenta un caso particolarmente problematico, essendo stata sanzionata dal governo americano per i suoi collegamenti con l'Esercito Popolare di Liberazione cinese. La società ha tentato di mascherare i suoi legami attraverso una complessa rete di società di comodo, vendendo apparentemente alcune controllate a parti anonime nel 2020, poco dopo l'imposizione delle sanzioni statunitensi. Le tecniche di occultamento utilizzate sono sofisticate. Autumn Breeze, sviluppatore di Snap VPN nel Google Play Store, sostiene ad esempio di essere costituita a Singapore e di operare indipendentemente, negando qualsiasi affiliazione con Qihoo 360. Tuttavia, i registri aziendali continuano a mostrare collegamenti sospetti, incluso un direttore il cui nome corrisponde a un individuo che gestiva l'unità di sicurezza mobile di Qihoo 360.

Le app sono spesso pubblicizzate come gratuite, tuttavia molte offrono piani di abbonamento a pagamento e contengono pubblicità. Di fatto, Apple e Google traggono profitto direttamente da queste transazioni attraverso le loro commissioni: Apple addebita il 30% (15% per le piccole imprese) sugli acquisti in-app, mentre Google applica il 15% fino a un milione di dollari di vendite annuali e il 30% oltre tale soglia. Le app menzionate nello studio sono particolarmente remuneative: X-VPN, sviluppata da Free Connected Limited, si posiziona al quarto posto tra le VPN gratuite più scaricate dall'App Store americano e genera ricavi superiori ai 10 milioni di dollari negli Stati Uniti. VPN Proxy Master e Turbo VPN, entrambe collegate a Qihoo 360, generano ciascuna oltre 5 milioni di dollari di ricavi americani.

Le politiche delle piattaforme sembrano inadeguate ad affrontare il problema. Le linee guida di Apple stabiliscono che le app VPN "non possono vendere, utilizzare o divulgare a terzi dati per qualsiasi scopo", ma qualsiasi sviluppatore con sede in Cina può essere legalmente obbligato a farlo con il governo cinese. Google richiede trasparenza nella condivisione dei dati, ma non ha ancora risposto alle domande sulle sue politiche specifiche per le VPN. Di seguito la lista delle app coinvolte nell'analisi del gruppo:

X-VPN, Ostrich VPN, VPN Proxy Master, Turbo VPN, VPNIFY, VPN Proxy OvpnSpider, WireVPN, Now VPN, Speedy Quark VPN, Best VPN Proxy AppVPN, HulaVPN, Wirevpn, Pearl VPN, Snap VPN, Signal Secure VPN

Il paradosso, negli USA e in molti altri paesi occidentali, è che le aziende tecnologiche sono spesso sottoposte a rigorosi controlli sulla privacy e la sicurezza dei dati, ma dall'altra parte app potenzialmente pericolose continuano a essere distribuite a milioni di utenti sostanzialmente ignari dei rischi. In questo contesto, la mancanza di trasparenza sulla proprietà reale di queste app impedisce agli utenti di prendere decisioni informate sulla loro sicurezza digitale.