免费Android VPN热门程式有八成过度要求存取用户个资
Google Play Store上最受欢迎的150个VPN免费程式经安全公司测试后，除了少数疑似有
病毒行为外，大致上没有恶意用途，但是有不少App涉嫌滥用个资
文/林妍溱 | 2019-01-22发表
安全公司发现，Google Play Store上最受欢迎的150个VPN免费程式，其中超过85%的app
过度要求存取用户个资，而有四分之一藏有包含泄露DNS、IP位址等资讯的问题。
这150个VPN免费程式包括了下载次数超过5000万的Hotspot Shield Free、SuperVPN，以
及超过1000万的Hi VPN、TurboVPN、VPN Master、SnapVPN、Hola及SpeedVPN等，总下载
次数超过2.6亿人次。安全公司Metric Labs针对这些热门VPN免费程式进行测试，分析其
加密有效性、浏览器资讯外泄、是否有病毒或恶意程式的功能和行为，以及是否过度要求
用户准许存取个资。
结果显示，所有免费VPN程式都提供了加密，而除了少数疑似有病毒行为外，其他都未展
现出恶意程式的行为。但是涉嫌滥用个资的app 则不少。研究发现，高达99个（66%）app
有和VPN功能完全不相关的侵入性要求许可，像是读／写SD卡、存取手机装置、联络人或
手机号码／序列号等，因而可能滥用隐私，这在Google Android开发者文件中被归类为“
危险”类别。其中38个（25%）app要求使用者同意追踪地点。另外，57个（38%）可能要
求用户同意存取装置上的个资。其他侵入性许可行为包括在未告知用户情况下启动手机相
机或麦克风、存取联络人资料甚至暗中传送短信。
此外本研究还发现95个（63%）的app有VPN不应存在的滥用隐私的危险功能，其中87款会
存取装置最新近的所在地点，但56款并没有获得用户同意就这么做了。
另外，研究人员也测试了app是否有泄露DNS、WebRTC和IP位址的情形。结果发现其中38个
（25%）app包含DNS资料外泄问题。这是因为VPN无法经由加密通道将DNS呼叫传送到它的
DNS服务器，而让该呼叫直接传送到默认的ISP DNS 服务器，这将导致用户上网纪录曝露
给ISP或第三方DNS服务器。另有4款app存在WebRTC资讯泄漏问题，WebRTC需要真实IP位址
，还会回避VPN通道，可能导致骇客利用WebRTC功能要求用户真实IP。研究人员还发现2款
VPN app安全性极不足，将导致DNS、WebRTC和IP位址全部外泄。
最后，研究人员发现，这些VPN程式还出现一些网络功能问题，包括DNS服务器被列入黑名
单中，让使用者连到VPN却无法存取该网站、阻挡TCP连线、效能低落、以及无法处理所有
DNS型态，包括传送较大封包需要的EDNSO等。
Metric Labs创办人暨研究人员Simon Migliano最后指出，这项研究显示免费的Android
VPN app虽然没有恶意用途，安全风险也很低，但也说明了隐私被滥用是免费app的代价。
https://www.ithome.com.tw/news/128395
安卓用户在使用VPN时，请注意免费软件所要求的存取权限，是否超过功能本身的需求，
建议使用较多人推荐使用且付费的VPN服务，以避免隐私被他人滥用的情形。