為什麼這篇VPN 風險ptt鄉民發文收入到精華區:因為在VPN 風險ptt這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者purplvampire (阿修雷)看板MobileComm標題[新聞] 免費Android V...
VPN 風險ptt 在 Oli 歐力 |美國留學| 行銷 | 旅行 Instagram 的最佳貼文
2021-07-11 08:50:40
#留言一起避開雷公司 前陣子各公司陸續採行WFH (Work From Home)後,逐漸地有些員工對於自己公司的政策從期望到失望,到最後不抱任何期待。在這樣的背景之下,越來越多人看清公司。 「公司根本枉顧員工性命,完全不在意員工」這是我朋友私底下向我抱怨的。後來我又在網路上看到了此篇文章:一場疫...
免費Android VPN熱門程式有八成過度要求存取用戶個資
Google Play Store上最受歡迎的150個VPN免費程式經安全公司測試後,除了少數疑似有
病毒行為外,大致上沒有惡意用途,但是有不少App涉嫌濫用個資
文/林妍溱 | 2019-01-22發表
安全公司發現,Google Play Store上最受歡迎的150個VPN免費程式,其中超過85%的app
過度要求存取用戶個資,而有四分之一藏有包含洩露DNS、IP位址等資訊的問題。
這150個VPN免費程式包括了下載次數超過5000萬的Hotspot Shield Free、SuperVPN,以
及超過1000萬的Hi VPN、TurboVPN、VPN Master、SnapVPN、Hola及SpeedVPN等,總下載
次數超過2.6億人次。安全公司Metric Labs針對這些熱門VPN免費程式進行測試,分析其
加密有效性、瀏覽器資訊外洩、是否有病毒或惡意程式的功能和行為,以及是否過度要求
用戶准許存取個資。
結果顯示,所有免費VPN程式都提供了加密,而除了少數疑似有病毒行為外,其他都未展
現出惡意程式的行為。但是涉嫌濫用個資的app 則不少。研究發現,高達99個(66%)app
有和VPN功能完全不相關的侵入性要求許可,像是讀/寫SD卡、存取手機裝置、聯絡人或
手機號碼/序列號等,因而可能濫用隱私,這在Google Android開發者文件中被歸類為「
危險」類別。其中38個(25%)app要求使用者同意追蹤地點。另外,57個(38%)可能要
求用戶同意存取裝置上的個資。其他侵入性許可行為包括在未告知用戶情況下啟動手機相
機或麥克風、存取聯絡人資料甚至暗中傳送簡訊。
此外本研究還發現95個(63%)的app有VPN不應存在的濫用隱私的危險功能,其中87款會
存取裝置最新近的所在地點,但56款並沒有獲得用戶同意就這麼做了。
另外,研究人員也測試了app是否有洩露DNS、WebRTC和IP位址的情形。結果發現其中38個
(25%)app包含DNS資料外洩問題。這是因為VPN無法經由加密通道將DNS呼叫傳送到它的
DNS伺服器,而讓該呼叫直接傳送到預設的ISP DNS 伺服器,這將導致用戶上網紀錄曝露
給ISP或第三方DNS伺服器。另有4款app存在WebRTC資訊洩漏問題,WebRTC需要真實IP位址
,還會迴避VPN通道,可能導致駭客利用WebRTC功能要求用戶真實IP。研究人員還發現2款
VPN app安全性極不足,將導致DNS、WebRTC和IP位址全部外洩。
最後,研究人員發現,這些VPN程式還出現一些網路功能問題,包括DNS伺服器被列入黑名
單中,讓使用者連到VPN卻無法存取該網站、阻擋TCP連線、效能低落、以及無法處理所有
DNS型態,包括傳送較大封包需要的EDNSO等。
Metric Labs創辦人暨研究人員Simon Migliano最後指出,這項研究顯示免費的Android
VPN app雖然沒有惡意用途,安全風險也很低,但也說明了隱私被濫用是免費app的代價。
https://www.ithome.com.tw/news/128395
安卓用戶在使用VPN時,請注意免費軟體所要求的存取權限,是否超過功能本身的需求,
建議使用較多人推薦使用且付費的VPN服務,以避免隱私被他人濫用的情形。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.177.123.190
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1548159688.A.0C6.html