[新闻] 研究:大部份Android VPN app不如想像中
楼主: purplvampire (阿修雷) 2017-02-01 14:49:45
1.媒体来源:
iThome
2.完整新闻标题:
研究:大部份Android VPN app不如想像中安全
3.完整新闻内文:
不少人会使用VPN app以保障使用的安全、隐私及匿名性,但一项研究显示,Android VPN
良莠不齐,存在许多大大小小的缺失,可能导致使用者曝露于身份、资料的安全风险。
文/林妍溱 | 2017-01-31发表
很多人用VPN来防止窃听、回避言论审查或翻墙,但一项研究显示大部份Android版VPN都
有设计上的缺失,而无法提供用户完全的身份或资料隐私。
英国科学与工业研究组织(CSIRO)、澳洲新南威尔斯大学、印度CSIRO、加州大学柏克莱
分校的研究人员去年11月针对Google Play中的283款Android VPN app进行分析,包括是
否有恶意程式、嵌入第三方函式库、流量操控(traffic manipulation)以及操弄使用者
对app安全与安全的认知等。这些VPN app使用BIND_VPN_SERVICE许可,可能突破Android
的沙盒防御,让app拦截所有流经受害手机或平板的流量并取得所有控管权限。
经过分析,研究人员发现,虽然VPN旨在强化安全与隐私,但是本研究中75%的app却使用
第三方追踪函式库,82%要求准许存取敏感资讯,包括使用者帐号及文字讯息。其次37%的
VPN app下载次数超过50万,其中25%获得4颗星评价,但超过38%的app包含Google防毒服
务认定的恶意程式,而且分析公开使用者评论显示,只有少数使用者注意到VPN app中有
恶意活动。
此外,18%的app并未说明VPN服务器为谁,16%的app会以点对点转送(peer-forwarding)
方式,而非透过云端服务器将流量传给其他特定使用者,这就产生信任、安全与隐私的疑
虑。并有4% app利用VPN许可实作代理服务器,以便为防毒或流量过滤等用途拦截用户流
量。
研究人员并发现18%的VPN app实作的通道协定(tunneling protocol)没有加密。此外将
近有84%及66%的VPN app因为不支援IPv6、组态错误或开发上的失误,而未透过tunnel
interface传送IPv6及DNS流量,造成流量外泄及被窃听的风险。此外,16%的VPN app部署
的代理服务器会注入或移除标头(header)或使用图像转码(image transcoding)等手
法修改用户HTTP流量,其中两款会为了广告追踪用途而在用户流量中注入JavaScript程式
码。最后,有4款app大量执行TLS拦截,其中3款号称提供流量加速,实际则刻意拦截连到
社交网站、网络银行、电子商务网站、邮箱及IM服务的流量。
研究人员表示,VPN app号称保障用户安全、隐私及匿名性,但这些app的用户却遭受安全
性不足及恶劣行为的危害而不自知,这些app虽然全球有数百万下载,但其运作透明度及
对用户隐私的影响,连科技玩家们都不见得知道。
4.完整新闻连结 (或短网址):
http://www.ithome.com.tw/news/111587
5.备注:
呼~还好我用苹果,整天VPN连来连去都不知道自己的帐密信用卡通讯录都被人家看光光了
iThome
2.完整新闻标题:
研究:大部份Android VPN app不如想像中安全
3.完整新闻内文:
不少人会使用VPN app以保障使用的安全、隐私及匿名性,但一项研究显示,Android VPN
良莠不齐,存在许多大大小小的缺失,可能导致使用者曝露于身份、资料的安全风险。
文/林妍溱 | 2017-01-31发表
很多人用VPN来防止窃听、回避言论审查或翻墙,但一项研究显示大部份Android版VPN都
有设计上的缺失,而无法提供用户完全的身份或资料隐私。
英国科学与工业研究组织(CSIRO)、澳洲新南威尔斯大学、印度CSIRO、加州大学柏克莱
分校的研究人员去年11月针对Google Play中的283款Android VPN app进行分析,包括是
否有恶意程式、嵌入第三方函式库、流量操控(traffic manipulation)以及操弄使用者
对app安全与安全的认知等。这些VPN app使用BIND_VPN_SERVICE许可,可能突破Android
的沙盒防御,让app拦截所有流经受害手机或平板的流量并取得所有控管权限。
经过分析,研究人员发现,虽然VPN旨在强化安全与隐私,但是本研究中75%的app却使用
第三方追踪函式库,82%要求准许存取敏感资讯,包括使用者帐号及文字讯息。其次37%的
VPN app下载次数超过50万,其中25%获得4颗星评价,但超过38%的app包含Google防毒服
务认定的恶意程式,而且分析公开使用者评论显示,只有少数使用者注意到VPN app中有
恶意活动。
此外,18%的app并未说明VPN服务器为谁,16%的app会以点对点转送(peer-forwarding)
方式,而非透过云端服务器将流量传给其他特定使用者,这就产生信任、安全与隐私的疑
虑。并有4% app利用VPN许可实作代理服务器,以便为防毒或流量过滤等用途拦截用户流
量。
研究人员并发现18%的VPN app实作的通道协定(tunneling protocol)没有加密。此外将
近有84%及66%的VPN app因为不支援IPv6、组态错误或开发上的失误,而未透过tunnel
interface传送IPv6及DNS流量,造成流量外泄及被窃听的风险。此外,16%的VPN app部署
的代理服务器会注入或移除标头(header)或使用图像转码(image transcoding)等手
法修改用户HTTP流量,其中两款会为了广告追踪用途而在用户流量中注入JavaScript程式
码。最后,有4款app大量执行TLS拦截,其中3款号称提供流量加速,实际则刻意拦截连到
社交网站、网络银行、电子商务网站、邮箱及IM服务的流量。
研究人员表示,VPN app号称保障用户安全、隐私及匿名性,但这些app的用户却遭受安全
性不足及恶劣行为的危害而不自知,这些app虽然全球有数百万下载,但其运作透明度及
对用户隐私的影响,连科技玩家们都不见得知道。
4.完整新闻连结 (或短网址):
http://www.ithome.com.tw/news/111587
5.备注:
呼~还好我用苹果,整天VPN连来连去都不知道自己的帐密信用卡通讯录都被人家看光光了
作者: a000000000 (九个零喔) 2017-02-01 14:50:00
过气雷姆猪
作者: scatology (scatology) 2017-02-01 14:51:00
教主!!!
作者: MonkeyCL (猴总召) 2017-02-01 14:51:00
这上色是考试笔记吗?
作者: bassmaster (三餐吃方便面然后暴毙) 2017-02-01 14:59:00
就算是教主,也不能谤神
作者: lianpig5566 (家庭教师杀手里包恩) 2017-02-01 15:00:00
英国研究
作者: Isaolin78 (;D) 2017-02-01 15:01:00
每次看到教主分身都还要算几个0验真身
作者: he00589298 (真诚对待) 2017-02-01 15:34:00
雷姆我的
作者: ggyyd (叽叽歪歪的) 2017-02-01 15:39:00
把教主射黑名单 就能马上辨认![]()
" target="_blank" rel="nofollow">
![]()
" target="_blank" rel="nofollow">作者: obov (来嘘苍真) 2017-08-22 00:40:00
雷姆教 雷姆教 雷姆帮你蕊懒叫