VPN Free แอบรั่วไหลส่งข้อมูลส่วนตัว ทั้งที่อ้างว่ามีความเป็นส่วนตัว?

แอป VPN Free บน Android ส่วนใหญ่แอบติดตามผู้ใช้, ขอสิทธิ์การเข้าถึงที่อันตราย และเชื่อมต่อไปยังเซิร์ฟเวอร์ที่มีความเสี่ยง ความเป็นส่วนตัวจึงมี "ต้นทุนที่ซ่อนอยู่"

แอป VPN Free เป็นหนึ่งในแอปยอดนิยมที่มีการดาวน์โหลดสูงสุดบน Android โดยให้คำมั่นสัญญาเรื่องความเป็นส่วนตัวโดยไม่มีค่าใช้จ่าย แต่ในความเป็นจริงนั้นแตกต่างจากสิ่งที่โฆษณาไว้อย่างสิ้นเชิง ผู้ใช้ส่วนใหญ่กด "ติดตั้ง" โดยไม่ทันยั้งคิด และไม่รู้เลยว่าแอปเหล่านี้จำนวนมากเก็บรวบรวมและแบ่งปันข้อมูลส่วนบุคคลแทนที่จะปกป้องมัน งานวิจัยจาก Mysterium VPN ได้ให้หลักฐานที่เป็นรูปธรรมเกี่ยวกับความเสี่ยงที่ซ่อนอยู่ใน VPN Free เผยให้เห็นกลไกการทำงานเบื้องหลัง และเหตุผลที่คำว่า "Free" มักแลกมาด้วยราคาที่สูงลิ่วต่อความเป็นส่วนตัวของคุณ

งานวิจัยนี้มุ่งเน้นไปที่แอป VPN Free บน Android ยอดนิยม 18 แอปจาก Google Play Store โดยแต่ละแอปถูกวิเคราะห์ด้วย MobSF (กรอบการทำงานด้านความปลอดภัยบนมือถือแบบโอเพนซอร์ส) การวิเคราะห์แบบสถิต (Static Analysis) นี้ตรวจสอบใน 4 ด้านหลัก ได้แก่: สิทธิ์การเข้าถึง (Permissions) ที่แอปขอ, ตัวติดตามของบุคคลที่สาม (Trackers) ที่ฝังอยู่, ปลายทางเครือข่ายที่ระบุไว้ในโค้ด (Hardcoded Endpoints) และอีเมลของนักพัฒนาหรือบุคคลที่สามที่ปรากฏในโค้ด แม้การวิเคราะห์นี้จะไม่เห็นกิจกรรมแบบเรียลไทม์ แต่การมีอยู่ขององค์ประกอบเหล่านี้แสดงให้เห็นถึง "ความสามารถ" ของแอปและอันตรายที่อาจเกิดขึ้นกับผู้ใช้

ตัวติดตาม (Trackers) จำนวนมหาศาล

สิ่งที่พบเป็นอันดับต้นๆ คือจำนวนตัวติดตามที่ฝังอยู่ ตัวติดตามคือซอฟต์แวร์ที่เก็บข้อมูลพฤติกรรมผู้ใช้เพื่อการโฆษณาหรือการวิเคราะห์ จาก 18 แอปที่ทดสอบ มีถึง 17 แอปที่มีตัวติดตามอย่างน้อยหนึ่งตัว และโดยเฉลี่ยหนึ่งแอปจะมีตัวติดตามเกือบ 5 ตัว บางแอปมีมากกว่า 12 ตัว ซึ่งรวมถึงแพลตฟอร์มจากสหรัฐอเมริกา จีน และรัสเซีย เครื่องมือโฆษณาของ Google อย่าง AdMob และ Firebase Analytics ปรากฏอยู่ในแทบทุกแอป รวมถึงการเชื่อมต่อกับ Facebook ในหลายแอปที่ทำให้เกิดการติดตามข้ามแพลตฟอร์ม แอปอย่าง Turbo VPN และ VPN Proxy Master มีการใช้แพลตฟอร์มของจีนอย่าง Umeng และ Mobvista รวมถึงตัวติดตามของรัสเซียอย่าง Yandex Ad สิ่งนี้หมายความว่า ผู้ใช้ที่พยายามหลีกเลี่ยงการถูกติดตาม กลับถูกตรวจสอบอย่างเข้มงวดโดยบริษัทบุคคลที่สามจำนวนมากแทน

สิทธิ์การเข้าถึง (Permissions) ที่เกินความจำเป็น

สิทธิ์ที่แอปเหล่านี้ขอนั้นสร้างความกังวลในอีกระดับ ปกติแล้ว VPN ที่ถูกกฎหมายต้องการสิทธิ์เพียงไม่กี่อย่าง เช่น การเข้าถึงเครือข่าย, การสร้างอุโมงค์ VPN และการทำงานเบื้องหน้า แต่แอปฟรีหลายแอปกลับขอสิทธิ์มากกว่านั้นมาก ตัวอย่างเช่น FreeVPN ขอสิทธิ์ถึง 21 รายการ ซึ่ง 12 รายการถือเป็นสิทธิ์ที่ "อันตราย" ตามกฎของ Android เช่น การเข้าถึงกล้อง, ไมโครโฟน, รายชื่อติดต่อ, บันทึกการโทร, ตำแหน่งที่ตั้งที่แม่นยำ และพื้นที่เก็บข้อมูลในเครื่อง สรุปง่ายๆ คือ แอปนี้สามารถบันทึกเสียงหรือวิดีโอ อ่านประวัติการโทร ติดตามการเคลื่อนไหว และเข้าถึงรูปภาพของคุณได้ สิทธิ์เหล่านี้ดูคล้ายกับ "สปายแวร์" (Spyware) มากกว่าเครื่องมือความเป็นส่วนตัว แอปอื่นๆ อย่าง VPN Proxy Master, VPN 360 และ Secure VPN ก็ขอสิทธิ์อันตรายจำนวนมากเช่นกัน รวมถึงความสามารถในการแก้ไขการตั้งค่าระบบหรือการแสดงหน้าต่างทับซ้อน (Overlay) ซึ่งอาจนำไปสู่การโจมตีแบบ Clickjacking ได้

การเชื่อมต่อเครือข่ายที่น่าสงสัย

แอปจำนวนมากมีการเชื่อมต่อไปยังโดเมนที่ระบุไว้ในโค้ด (Hardcoded domains) จำนวนมาก บางแอปมีมากกว่า 100 โดเมน ซึ่งเกินความจำเป็นสำหรับ VPN โดเมนเหล่านี้บางส่วนตั้งอยู่ในประเทศที่มีการเฝ้าระวังโดยรัฐอย่างเข้มงวด หรือถูกคว่ำบาตรจากสหรัฐฯ (OFAC) เช่น จีน และรัสเซีย

"สิ่งที่น่าตกใจที่สุดอาจเป็นจำนวนแอป VPN ฟรีที่มีการเชื่อมต่อโดยตรงไปยังเซิร์ฟเวอร์ในประเทศที่ถูกคว่ำบาตรหรือมีการเฝ้าระวังโดยรัฐ" รายงานจาก Mysterium VPN ระบุ "การส่งข้อมูล VPN ผ่านเขตอำนาจศาลเหล่านี้ทำให้ผู้ใช้เผชิญกับความเสี่ยงที่นโยบายความเป็นส่วนตัวใดๆ ก็ช่วยไม่ได้"

สรุปรายชื่อแอปที่มีความเสี่ยงสูง:
    •    FreeVPN: โดดเด่นเรื่องการขอสิทธิ์การเข้าถึงที่รุนแรงมากที่สุด
    •    VPN Proxy Master: เป็น "นักเก็บข้อมูลตัวยง" เพราะรวมทั้งสิทธิ์อันตราย ตัวติดตามจำนวนมาก และการเชื่อมต่อกับโครงสร้างพื้นฐานที่มีความเสี่ยง
    •    Turbo VPN: เจ้าแห่งตัวติดตาม (Tracker King) ที่ฝังแพลตฟอร์มโฆษณาจาก 3 มหาอำนาจ
    •    VPN 360: มีร่องรอยเครือข่ายใหญ่ที่สุด เชื่อมต่อไปยังโดเมนต่างๆ กว่า 100 แห่ง
    •    Secure VPN: ผสมผสานสิทธิ์อันตรายเข้ากับการติดตามที่เข้มข้น รวมถึงชุดเครื่องมือของ Facebook แบบครบถ้วน

บทเรียนสำหรับผู้ใช้:
แอป VPN Free ส่วนใหญ่ไม่ใช่เครื่องมือความเป็นส่วนตัว แต่เป็น "แพลตฟอร์มโฆษณาและเก็บข้อมูล" ที่ปลอมแปลงมาในคราบแอปความปลอดภัย เพื่อปกป้องตนเอง คุณควรตรวจสอบสิทธิ์การเข้าถึงอย่างละเอียด ใช้เครื่องมืออย่าง Exodus Privacy เพื่อตรวจสอบตัวติดตาม และควรระแวงแอปที่ให้ใช้ฟรี การลงทุนกับ VPN ที่น่าเชื่อถือ ปลอดภัย และมีการตรวจสอบโดยหน่วยงานอิสระ (Independent Audit) เป็นสิ่งที่คุ้มค่ากับต้นทุนเพื่อแลกกับความปลอดภัยและความสบายใจ

"ข้อสรุปหลักของงานวิจัยนี้ชัดเจนมาก: แอป VPN Free ชื่อดังส่วนใหญ่บน Android ไม่ใช่เครื่องมือเพื่อความเป็นส่วนตัว แต่เป็นแพลตฟอร์มเก็บข้อมูลและโฆษณาที่ใช้ฟังก์ชัน VPN เป็นเหยื่อล่อเท่านั้น" รายงานสรุปทิ้งท้าย

อ้างอิง : Free VPNs leak your data while claiming privacy