研究:大部份Android VPN app不如想像中安全
很多人用VPN来防止窃听、迴避言论审查或翻墙,但一项研究显示大部份Android版VPN都有设计上的缺失,而无法提供用户完全的身份或资料隐私。?
英国科学与工业研究组织(CSIRO)、澳洲新南威尔斯大学、印度CSIRO、加州大学柏克莱分校的研究人员去年11月针对Google Play中的283款Android VPN app进行分析,包括是否有恶意程式、嵌入第三方函式库、流量操控(traffic manipulation)以及操弄使用者对app安全与安全的认知等。这些VPN app使用BIND_VPN_SERVICE许可,可能突破Android的沙盒防御,让app拦截所有流经受害手机或平板的流量并取得所有控管权限。?
经过分析,研究人员发现,虽然VPN旨在强化安全与隐私,但是本研究中75%的app却使用第三方追蹤函式库,82%要求准许存取敏感资讯,包括使用者帐号及文字讯息。其次37%的VPN app下载次数超过50万,其中25%获得4颗星评价,但超过38%的app包含Google防毒服务认定的恶意程式,而且分析公开使用者评论显示,只有少数使用者注意到VPN app中有恶意活动。?
此外,18%的app并未说明VPN伺服器为谁,16%的app会以点对点转送(peer-forwarding)方式,而非透过云端伺服器将流量传给其他特定使用者,这就产生信任、安全与隐私的疑虑。并有4% app利用VPN许可实作代理伺服器,以便为防毒或流量过滤等用途拦截用户流量。?
研究人员并发现18%的VPN app实作的通道协定(tunneling protocol)没有加密。此外将近有84%及66%的VPN app因为不支援IPv6、组态错误或开发上的失误,而未透过tunnel interface传送IPv6及DNS流量,造成流量外洩及被窃听的风险。此外,16%的VPN app部署的代理伺服器会注入或移除标头(header)或使用图像转码(image transcoding)等手法修改用户HTTP流量,其中两款会为了广告追蹤用途而在用户流量中注入JavaScript程式码。最后,有4款app大量执行TLS拦截,其中3款号称提供流量加速,实际则刻意拦截连到社交网站、网路银行、电子商务网站、邮箱及IM服务的流量。?
研究人员表示,VPN app号称保障用户安全、隐私及匿名性,但这些app的用户却遭受安全性不足及恶劣行为的危害而不自知,这些app虽然全球有数百万下载,但其运作透明度及对用户隐私的影响,连科技玩家们都不见得知道。
- 上一篇
云端业务推升Q2营收成长,微软市值重回5000亿美元
图片来源: Microsoft 在云端业务推升下,微软上季营收突破241亿美元,也让微软市值在2000年以来首次回到5000亿美元水準。 ? 根据微软上周公布会计年度2017年第2季财报,微软上季营收为241亿美元,净利达52亿美元,每股盈余66美分,优于华尔街分析师预期。 ?
- 下一篇
外洩资料搜寻网站LeakedSource传出遭警方突袭,被迫关站
图片来源: LeakedSource 专门提供外洩资料搜寻服务的LeakedSource在上周传出遭警方突击且被迫关站,虽然未获得LeakedSource或警方的证实,但LeakedSource网站自上周四(1/26)便无法存取迄今。 外界的消息来源是近日张贴在线上市集论坛ogflip与pastebin的一