免費Android VPN熱門程式有八成過度要求存取用戶個資

安全公司發現,Google Play Store上最受歡迎的150個VPN免費程式,其中超過85%的app過度要求存取用戶個資,而有四分之一藏有包含洩露DNS、IP位址等資訊的問題。

這150個VPN免費程式包括了下載次數超過5000萬的Hotspot Shield Free、SuperVPN,以及超過1000萬的Hi VPN、TurboVPN、VPN Master、SnapVPN、Hola及SpeedVPN等,總下載次數超過2.6億人次。安全公司Metric Labs針對這些熱門VPN免費程式進行測試,分析其加密有效性、瀏覽器資訊外洩、是否有病毒或惡意程式的功能和行為,以及是否過度要求用戶准許存取個資。

結果顯示,所有免費VPN程式都提供了加密,而除了少數疑似有病毒行為外,其他都未展現出惡意程式的行為。但是涉嫌濫用個資的app 則不少。研究發現,高達99個(66%)app有和VPN功能完全不相關的侵入性要求許可,像是讀/寫SD卡、存取手機裝置、聯絡人或手機號碼/序列號等,因而可能濫用隱私,這在Google Android開發者文件中被歸類為「危險」類別。其中38個(25%)app要求使用者同意追蹤地點。另外,57個(38%)可能要求用戶同意存取裝置上的個資。其他侵入性許可行為包括在未告知用戶情況下啟動手機相機或麥克風、存取聯絡人資料甚至暗中傳送簡訊。

此外本研究還發現95個(63%)的app有VPN不應存在的濫用隱私的危險功能,其中87款會存取裝置最新近的所在地點,但56款並沒有獲得用戶同意就這麼做了。

另外,研究人員也測試了app是否有洩露DNS、WebRTC和IP位址的情形。結果發現其中38個(25%)app包含DNS資料外洩問題。這是因為VPN無法經由加密通道將DNS呼叫傳送到它的DNS伺服器,而讓該呼叫直接傳送到預設的ISP DNS 伺服器,這將導致用戶上網紀錄曝露給ISP或第三方DNS伺服器。另有4款app存在WebRTC資訊洩漏問題,WebRTC需要真實IP位址,還會迴避VPN通道,可能導致駭客利用WebRTC功能要求用戶真實IP。研究人員還發現2款VPN app安全性極不足,將導致DNS、WebRTC和IP位址全部外洩。

最後,研究人員發現,這些VPN程式還出現一些網路功能問題,包括DNS伺服器被列入黑名單中,讓使用者連到VPN卻無法存取該網站、阻擋TCP連線、效能低落、以及無法處理所有DNS型態,包括傳送較大封包需要的EDNSO等。

Metric Labs創辦人暨研究人員Simon Migliano最後指出,這項研究顯示免費的Android VPN app雖然沒有惡意用途,安全風險也很低,但也說明了隱私被濫用是免費app的代價。

原文來自 iThome Online