很多人用VPN來防止竊聽、迴避言論審查或翻牆,但一項研究顯示大部份Android版VPN都有設計上的缺失,而無法提供用戶完全的身份或資料隱私。
英國科學與工業研究組織(CSIRO)、澳洲新南威爾斯大學、印度CSIRO、加州大學柏克萊分校的研究人員去年11月針對Google Play中的283款Android VPN app進行分析,包括是否有惡意程式、嵌入第三方函式庫、流量操控(traffic manipulation)以及操弄使用者對app安全與安全的認知等。這些VPN app使用BIND_VPN_SERVICE許可,可能突破Android的沙盒防禦,讓app攔截所有流經受害手機或平板的流量並取得所有控管權限。
經過分析,研究人員發現,雖然VPN旨在強化安全與隱私,但是本研究中75%的app卻使用第三方追蹤函式庫,82%要求准許存取敏感資訊,包括使用者帳號及文字訊息。其次37%的VPN app下載次數超過50萬,其中25%獲得4顆星評價,但超過38%的app包含Google防毒服務認定的惡意程式,而且分析公開使用者評論顯示,只有少數使用者注意到VPN app中有惡意活動。
此外,18%的app並未說明VPN伺服器為誰,16%的app會以點對點轉送(peer-forwarding)方式,而非透過雲端伺服器將流量傳給其他特定使用者,這就產生信任、安全與隱私的疑慮。並有4% app利用VPN許可實作代理伺服器,以便為防毒或流量過濾等用途攔截用戶流量。
研究人員並發現18%的VPN app實作的通道協定(tunneling protocol)沒有加密。此外將近有84%及66%的VPN app因為不支援IPv6、組態錯誤或開發上的失誤,而未透過tunnel interface傳送IPv6及DNS流量,造成流量外洩及被竊聽的風險。此外,16%的VPN app部署的代理伺服器會注入或移除標頭(header)或使用圖像轉碼(image transcoding)等手法修改用戶HTTP流量,其中兩款會為了廣告追蹤用途而在用戶流量中注入JavaScript程式碼。最後,有4款app大量執行TLS攔截,其中3款號稱提供流量加速,實際則刻意攔截連到社交網站、網路銀行、電子商務網站、郵箱及IM服務的流量。
研究人員表示,VPN app號稱保障用戶安全、隱私及匿名性,但這些app的用戶卻遭受安全性不足及惡劣行為的危害而不自知,這些app雖然全球有數百萬下載,但其運作透明度及對用戶隱私的影響,連科技玩家們都不見得知道。