Аналітики з групи цифрової свободи RKS Global протестували 87 найзавантажуваніших безкоштовних VPN-сервісів у Росії – 69 на Android і 18 на iOS. У 16 із них вони виявили сліди Yandex.Metrica – сервісу аналітики, що належить російському техгіганту Yandex. Про це пише Techradar.
Дивіться також Перетворіть ваш ноутбук на неприступну цифрову фортецю: кібербезпека робочого простору
Чому присутність Yandex.Metrica у VPN викликає занепокоєння?
Моніторинг мережевого трафіку показав, що ці додатки здійснюють активні запити до російських серверів незалежно від того, який VPN-сервер обрав користувач. Хоча трафік був зашифрований і дослідники не змогли встановити, які саме дані передаються, сам факт підключення створює структурний ризик.
У звіті наголошується, що наразі немає доказів передачі інформації, достатньої для прямого переслідування користувачів. Водночас як російська компанія Yandex зобов'язана зберігати метадані до трьох років і надавати їх державним органам на запит. Це означає, що навіть без наміру шпигування формується постійний канал передачі даних до юрисдикції, де цифрові права перебувають під значним тиском.
Оскільки інструмент інтегрований у базовий код додатків, з'єднання з серверами відбувається одразу після запуску VPN. Вимкнути це через налаштування клієнта неможливо.
Серед iOS-додатків із виявленими зв'язками – VPN-VPN Secure, VPN Fast VPN 360 unlimited, VPN - Buck Super і Super Fly VPN 2026. На Android до списку увійшли Pulya VPN, Planet VPN, JumpJumpVPN та Turbo VPN. Останній ще у серпні 2025 року вже згадувався у контексті SDK-зв'язків із Росією та Китаєм.
Дослідники підкреслили технічні обмеження роботи: аналіз охоплював лише додатки на пристроях користувачів і не враховував можливу передачу даних безпосередньо з серверів VPN третім сторонам.
Як пише Techxplore, окрему увагу у звіті приділено попереднім інцидентам. У 2021 році сайт "Smart Voting", створений опозиційними силами для координації тактичного голосування, використовував Yandex.Metrica з функцією Webvisor. Інструмент записував сесії користувачів і потенційно міг фіксувати введені дані. Після цього RKS Global заявила, що Yandex.Metrica не є безпечним вибором для тих, хто прагне захисту від російської держави.
У 2022 році розслідування Financial Times показало, що Yandex вбудовувала код збору даних у SDK, які використовували тисячі розробників у світі. Це посилило побоювання, що навіть метадані можуть допомогти відстежувати поведінку користувачів.
Голова галузевої асоціації VPN Guild Олексій Козлюк пояснив, що навіть захищений VPN-тунель не гарантує повного захисту, якщо сам додаток передає дані зсередини. За його словами, документація AppMetrica передбачає збір телеметрії, яка може включати унікальні ідентифікатори пристрою, IP-адресу на момент події та інші характеристики мережі. Такий цифровий відбиток дозволяє пов'язувати активність із конкретним пристроєм у часі.
Хоча ці VPN орієнтовані на глобальну аудиторію, для користувачів у Росії ризики є особливо високими через активне блокування і контроль VPN-сервісів з боку влади.
Експерти радять уникати безкоштовних "безлімітних" VPN, які покладаються на агресивну аналітику для монетизації. Серед безкоштовних альтернатив із кращою прозорістю називають PrivadoVPN Free та Proton VPN Free.
Присутність Yandex.Metrica у VPN не означає автоматичного стеження, але створює постійну вразливість, яку користувачі не можуть контролювати.