※ 本文為 zbali.bbs. 轉寄自 ptt.cc 更新時間: 2017-02-01 14:55:36
看板 Gossiping
作者 標題 [新聞] 研究:大部份Android VPN app不如想像中
時間 Wed Feb 1 14:49:45 2017
1.媒體來源:
iThome
2.完整新聞標題:
研究:大部份Android VPN app不如想像中安全
3.完整新聞內文:
不少人會使用VPN app以保障使用的安全、隱私及匿名性,但一項研究顯示,Android VPN
良莠不齊,存在許多大大小小的缺失,可能導致使用者曝露於身份、資料的安全風險。
文/林妍溱 | 2017-01-31發表
很多人用VPN來防止竊聽、迴避言論審查或翻牆,但一項研究顯示大部份Android版VPN都
有設計上的缺失,而無法提供用戶完全的身份或資料隱私。
英國科學與工業研究組織(CSIRO)、澳洲新南威爾斯大學、印度CSIRO、加州大學柏克萊
分校的研究人員去年11月針對Google Play中的283款Android VPN app進行分析,包括是
否有惡意程式、嵌入第三方函式庫、流量操控(traffic manipulation)以及操弄使用者
對app安全與安全的認知等。這些VPN app使用BIND_VPN_SERVICE許可,可能突破Android
的沙盒防禦,讓app攔截所有流經受害手機或平板的流量並取得所有控管權限。
分校的研究人員去年11月針對Google Play中的283款Android VPN app進行分析,包括是
否有惡意程式、嵌入第三方函式庫、流量操控(traffic manipulation)以及操弄使用者
對app安全與安全的認知等。這些VPN app使用BIND_VPN_SERVICE許可,可能突破Android
的沙盒防禦,讓app攔截所有流經受害手機或平板的流量並取得所有控管權限。
經過分析,研究人員發現,雖然VPN旨在強化安全與隱私,但是本研究中75%的app卻使用
第三方追蹤函式庫,82%要求准許存取敏感資訊,包括使用者帳號及文字訊息。其次37%的
VPN app下載次數超過50萬,其中25%獲得4顆星評價,但超過38%的app包含Google防毒服
務認定的惡意程式,而且分析公開使用者評論顯示,只有少數使用者注意到VPN app中有
惡意活動。
第三方追蹤函式庫,82%要求准許存取敏感資訊,包括使用者帳號及文字訊息。其次37%的
VPN app下載次數超過50萬,其中25%獲得4顆星評價,但超過38%的app包含Google防毒服
務認定的惡意程式,而且分析公開使用者評論顯示,只有少數使用者注意到VPN app中有
惡意活動。
此外,18%的app並未說明VPN伺服器為誰,16%的app會以點對點轉送(peer-forwarding)
方式,而非透過雲端伺服器將流量傳給其他特定使用者,這就產生信任、安全與隱私的疑
慮。並有4% app利用VPN許可實作代理伺服器,以便為防毒或流量過濾等用途攔截用戶流
量。
方式,而非透過雲端伺服器將流量傳給其他特定使用者,這就產生信任、安全與隱私的疑
慮。並有4% app利用VPN許可實作代理伺服器,以便為防毒或流量過濾等用途攔截用戶流
量。
研究人員並發現18%的VPN app實作的通道協定(tunneling protocol)沒有加密。此外將
近有84%及66%的VPN app因為不支援IPv6、組態錯誤或開發上的失誤,而未透過tunnel
interface傳送IPv6及DNS流量,造成流量外洩及被竊聽的風險。此外,16%的VPN app部署
的代理伺服器會注入或移除標頭(header)或使用圖像轉碼(image transcoding)等手
法修改用戶HTTP流量,其中兩款會為了廣告追蹤用途而在用戶流量中注入JavaScript程式
碼。最後,有4款app大量執行TLS攔截,其中3款號稱提供流量加速,實際則刻意攔截連到
社交網站、網路銀行、電子商務網站、郵箱及IM服務的流量。
的代理伺服器會注入或移除標頭(header)或使用圖像轉碼(image transcoding)等手
法修改用戶HTTP流量,其中兩款會為了廣告追蹤用途而在用戶流量中注入JavaScript程式
碼。最後,有4款app大量執行TLS攔截,其中3款號稱提供流量加速,實際則刻意攔截連到
社交網站、網路銀行、電子商務網站、郵箱及IM服務的流量。
研究人員表示,VPN app號稱保障用戶安全、隱私及匿名性,但這些app的用戶卻遭受安全
性不足及惡劣行為的危害而不自知,這些app雖然全球有數百萬下載,但其運作透明度及
對用戶隱私的影響,連科技玩家們都不見得知道。
性不足及惡劣行為的危害而不自知,這些app雖然全球有數百萬下載,但其運作透明度及
對用戶隱私的影響,連科技玩家們都不見得知道。
4.完整新聞連結 (或短網址):
http://www.ithome.com.tw/news/111587
研究:大部份Android VPN app不如想像中安全 | iThome
![[圖]]()
不少人會使用VPN app以保障使用的安全、隱私及匿名性,但一項研究顯示,Android VPN良莠不齊,存在許多大大小小的缺失,可能導致使用者曝露於身份、資料的安全風險。 ...
![[圖]](http://static4.ithome.com.tw/sites/default/files/field/image/sam_4736_0_1_0.jpg)
5.備註:
呼~還好我用蘋果,整天VPN連來連去都不知道自己的帳密信用卡通訊錄都被人家看光光了
--
推 : 雷姆教 雷姆教 雷姆幫你蕊懶叫08/22 00:40
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.251.46.229
※ 文章代碼(AID): #1OaOKEm5 (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1485931790.A.C05.html
推 : 過氣雷姆豬1F 02/01 14:50
推 : 教主!!!2F 02/01 14:51
推 : 這上色是考試筆記嗎?3F 02/01 14:51
--
※ 看板: ott 文章推薦值: 0 目前人氣: 0 累積人氣: 173
→
guest
回列表(←)
分享