一项针对大约300个VPN App的研究发现:
只有个位数的才是真正的安全,其余皆有巨大的安全漏洞甚至恶意代码。
在过去的几年里,世界上已有越来越多的网民选择使用VPN来掩盖自己线上的痕迹。对于中国的网民来说,VPN也是“翻墙”必用的软件。如今,随着中国政府对VPN的管理越来越严格,大量的国内VPN服务以及APP将会倒闭。这意味着将有更多的用户选择国外的VPN。
但是,VPN的月亮可不是国外的圆,大家需要谨慎使用。因为一项对谷歌安卓App商店里大约300个VPN App的分析显示,它们大多数都有着极大的安全隐患,有些没有任何作用,而有些甚至会在你的手机里安装恶意软件。
在这项研究里,研究人员们对283个VPN App的原编码和网络行为进行了分析,并且在一篇论文中发布了结果:
-
18%没有对数据进行任何加密
,令用户在使用公众WiFi等开放网络时对中间人的攻击没有任何抵抗。
-
16%在用户的网络数据里嵌入了代码
,比如图像转码。图像转码的目的是为了让图像更快的加载。有两款App会在数据里嵌入推送广告和跟踪用户行为的JavaScript脚本。JavaScipt可以被轻松地修改成恶意软件。
-
84%在使用IPv6协议时会泄露流量,66%甚至会泄露DNS相关信息
,令用户更容易受到监视或修改攻击的威胁。
-
有67%的App都宣称可以增强隐私,但是其中的75%会使用第三方追踪代码来监视用户的线上行为,82%要求用户提供敏感信息
,比如用户账号和短信的权限。
-
38%含有被VirusTotal分类为恶意的代码
。由谷歌提供的VirusTotal,集合了超过100款杀毒软件扫毒功能的服务。
-
4款App会安装可以使其截留并解密手机与加密网站之间的传输层安全协议数据的电子证书。
这是一个极其危险的安全漏洞。
截留并解密传输层安全协议数据的App
来自澳大利亚联邦科学与工业研究组织,英国南威尔士大学,以及美国加州大学伯克利分校的研究人员们在他们发表的报告中写到:
“我们的结果显示,虽然大多数VPN App都表示宣称可以提供隐私,安全,以及匿名的网络环境,但是数百万用户很有可能在无意中成为那些恶劣的甚至非法行为的受害者。虽然全球有数百万用户选择使用安卓VPN App,但是它们的运营透明度以及对用户隐私和安全的影响对高级用户来说都属于未知。”
不能加密的App
不过,不是每种被爆出的行为都会造成隐私或安全问题。在过去,有许多种VPN都被指出会泄露IPv6和DNS数据。其中有些情况只会对匿名造成影响,并不会给攻击者可以监视或改变网络流量的机会。当然,绝大多数网络安全和隐私专家都赞同此项研究所发现的行为应该避免出现在VPN服务中。
监控用户行为的VPN App
不过,在283款VPN App中还是有几款受到了研究人员的夸奖
。由芬兰网络安全公司F-Secure开发的Freedome VPN就是其中之一。它真正实现所有的保证,对大多数跟踪网端和移动端的域名,比如谷歌Ad,DoubleClick,谷歌Tag,以及comScore进行拦截。虽然该App对纽约时报网站上的视频进行了一些修改,但那是因为该域名里的一些javascript的原因。除了这一点以外,Freedome没有任何瑕疵。
被VirusTotal爆出含有恶意代码的VPN App
此项研究的目标都是在去年11月时使用安卓框架下BIND_VPN_SERVICE权限的App,该权限可以让一款App拦截并控制手机的一切网络流量。在那之后被添加到谷歌App商店的App并没有被加入此项研究。
