研究：大部份Android VPN app不如想像中安全

很多人用VPN来防止窃听、迴避言论审查或翻墙，但一项研究显示大部份Android版VPN都有设计上的缺失，而无法提供用户完全的身份或资料隐私。?

英国科学与工业研究组织（CSIRO）、澳洲新南威尔斯大学、印度CSIRO、加州大学柏克莱分校的研究人员去年11月针对Google Play中的283款Android VPN app进行分析，包括是否有恶意程式、嵌入第三方函式库、流量操控（traffic manipulation）以及操弄使用者对app安全与安全的认知等。这些VPN app使用BIND_VPN_SERVICE许可，可能突破Android的沙盒防御，让app拦截所有流经受害手机或平板的流量并取得所有控管权限。?

经过分析，研究人员发现，虽然VPN旨在强化安全与隐私，但是本研究中75%的app却使用第三方追蹤函式库，82%要求准许存取敏感资讯，包括使用者帐号及文字讯息。其次37%的VPN app下载次数超过50万，其中25%获得4颗星评价，但超过38%的app包含Google防毒服务认定的恶意程式，而且分析公开使用者评论显示，只有少数使用者注意到VPN app中有恶意活动。?

此外，18%的app并未说明VPN伺服器为谁，16%的app会以点对点转送（peer-forwarding）方式，而非透过云端伺服器将流量传给其他特定使用者，这就产生信任、安全与隐私的疑虑。并有4% app利用VPN许可实作代理伺服器，以便为防毒或流量过滤等用途拦截用户流量。?

研究人员并发现18%的VPN app实作的通道协定（tunneling protocol）没有加密。此外将近有84%及66%的VPN app因为不支援IPv6、组态错误或开发上的失误，而未透过tunnel interface传送IPv6及DNS流量，造成流量外洩及被窃听的风险。此外，16%的VPN app部署的代理伺服器会注入或移除标头（header）或使用图像转码（image transcoding）等手法修改用户HTTP流量，其中两款会为了广告追蹤用途而在用户流量中注入JavaScript程式码。最后，有4款app大量执行TLS拦截，其中3款号称提供流量加速，实际则刻意拦截连到社交网站、网路银行、电子商务网站、邮箱及IM服务的流量。?

研究人员表示，VPN app号称保障用户安全、隐私及匿名性，但这些app的用户却遭受安全性不足及恶劣行为的危害而不自知，这些app虽然全球有数百万下载，但其运作透明度及对用户隐私的影响，连科技玩家们都不见得知道。