当前位置: > >研究:大部份Android VPN app不如想像中安全

研究:大部份Android VPN app不如想像中安全

03-12,IT资讯研究:大部份Android VPN app不如想像中安全最新消息报导,口袋科技网(http://www.kotoo.com)IT资讯

很多人用VPN来防止窃听、迴避言论审查或翻墙,但一项研究显示大部份Android版VPN都有设计上的缺失,而无法提供用户完全的身份或资料隐私。?

英国科学与工业研究组织(CSIRO)、澳洲新南威尔斯大学、印度CSIRO、加州大学柏克莱分校的研究人员去年11月针对Google Play中的283款Android VPN app进行分析,包括是否有恶意程式、嵌入第三方函式库、流量操控(traffic manipulation)以及操弄使用者对app安全与安全的认知等。这些VPN app使用BIND_VPN_SERVICE许可,可能突破Android的沙盒防御,让app拦截所有流经受害手机或平板的流量并取得所有控管权限。?

经过分析,研究人员发现,虽然VPN旨在强化安全与隐私,但是本研究中75%的app却使用第三方追蹤函式库,82%要求准许存取敏感资讯,包括使用者帐号及文字讯息。其次37%的VPN app下载次数超过50万,其中25%获得4颗星评价,但超过38%的app包含Google防毒服务认定的恶意程式,而且分析公开使用者评论显示,只有少数使用者注意到VPN app中有恶意活动。?

此外,18%的app并未说明VPN伺服器为谁,16%的app会以点对点转送(peer-forwarding)方式,而非透过云端伺服器将流量传给其他特定使用者,这就产生信任、安全与隐私的疑虑。并有4% app利用VPN许可实作代理伺服器,以便为防毒或流量过滤等用途拦截用户流量。?

研究人员并发现18%的VPN app实作的通道协定(tunneling protocol)没有加密。此外将近有84%及66%的VPN app因为不支援IPv6、组态错误或开发上的失误,而未透过tunnel interface传送IPv6及DNS流量,造成流量外洩及被窃听的风险。此外,16%的VPN app部署的代理伺服器会注入或移除标头(header)或使用图像转码(image transcoding)等手法修改用户HTTP流量,其中两款会为了广告追蹤用途而在用户流量中注入JavaScript程式码。最后,有4款app大量执行TLS拦截,其中3款号称提供流量加速,实际则刻意拦截连到社交网站、网路银行、电子商务网站、邮箱及IM服务的流量。?

研究人员表示,VPN app号称保障用户安全、隐私及匿名性,但这些app的用户却遭受安全性不足及恶劣行为的危害而不自知,这些app虽然全球有数百万下载,但其运作透明度及对用户隐私的影响,连科技玩家们都不见得知道。

声明:

·凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。如系原创文章,转载请注明出处。

·您若对该稿件内容有任何疑问或质疑,请即联系,本网将迅速给您回应并做处理。

邮箱:mail@kotoo.com

+1 已赞
已有8人赞过
上一篇:没有了 下一篇:没有了
评论13

发表评论请 登录
  • 最新
  • 最热
评论举报

请选择举报理由

17 13

已收藏
去我的收藏夹 >

已取消收藏
去我的收藏夹 >